OracleのPeopleSoftに深刻なゼロデイ（CVSS 9.8）——ShinyHuntersが2週間以上悪用、100組織から数十GBのデータが流出

Oracle社が提供するエンタープライズ向け人事・財務・学務管理ソフトウェア「PeopleSoft」に、深刻なゼロデイ脆弱性が発覚した。Ars TechnicaのDan Goodin記者が2026年6月12日に報じたもので、Google傘下のMandiantセキュリティチームが調査結果を公表している。CVSS 9.8という最高クラスの深刻度を持つこの脆弱性は、すでに世界的に活発なランサムウェアグループ「ShinyHunters」に2週間以上にわたって悪用されており、約100組織が被害を受けたとされる。

脆弱性の概要——SSRF攻撃で内部システムへ侵入

今回明らかになった脆弱性は「CVE-2026-35273」として追跡されており、SSRFと呼ばれる攻撃手法を利用するものだ。SSRFとはServer-Side Request Forgeryの略で、脆弱なサーバーを踏み台にして組織内部のシステムへ不正なリクエストを送り込む攻撃である。リモートから認証なしで悪用可能という点が、9.8という高スコアにつながっている。

Mandiantの報告によれば、ShinyHuntersは2026年5月27日からこの脆弱性を悪用し始め、100のユーザー組織に属する約300のエンドポイントを標的にした。被害組織の約68%が高等教育機関であったことも報告されている。

Oracleは暫定的な緩和策（ワークアラウンド）を公開しているが、記事執筆時点では完全なパッチはリリースされていない。

海外レビューのポイント——攻撃手口と被害規模

Ars TechnicaおよびMandiantの報告によると、攻撃者はステージングサーバー上にBashスクリプトを残しており、その解析から攻撃の詳細な手順が判明している。

攻撃者はまず侵害した組織内で偵察活動を実施し、PeopleSoftの設定情報や「Process Scheduler」「WebLogicサーバーのXML設定」を収集。その後、ShinyHuntersのデータリークサイト（DLS）をホストするIPアドレスへの外向きSSH接続を確立し、「zstd」ツールで圧縮した上でデータを持ち出している。DLSの記録では、1組織からだけで48GBのデータが流出したと報告されている。

英ノッティンガム大学は6月12日、「学生の重要なデータが脅威アクターの手に渡った」と被害を公式に認めた。ShinyHuntersが同大学を被害リストに掲載し、窃取データの一部を公開したことを受けての声明だ。

Mandiantは「複数の組織が活動をブロックまたは脆弱性を修正することに成功した一方で、侵害された組織では窃取データがShinyHuntersのDLSに公開された」と述べている。Rapid7もMandiantと並んで侵害指標（IoC）の詳細を公開中だ。

ShinyHuntersとは

Mandiantの報告によれば、ShinyHuntersは2019年頃から活動を続けている著名なサイバー犯罪グループで、これまでTicketmaster（Snowflakeの侵害を経由）、スペイン最大手銀行のSantander、Salesforceなど世界的大企業への攻撃を多数実行してきた。クラウド設定ミスの悪用、OAuthトークン窃取、サプライチェーン攻撃、ボイスフィッシングなど多彩な初期侵入手法を持つことでも知られる。

日本市場での注目点

PeopleSoftは大学・研究機関や大手企業の人事・財務・学務システムとして日本国内でも導入実績がある。今回の攻撃が高等教育機関に集中している点は、国内IT管理者にとっても他人事ではない。

MandiantおよびRapid7は侵害指標（IoC）を公開しており、PeopleSoftを導入している組織はただちに以下の対応確認が推奨される。

• Oracleが公開した暫定緩和策の適用状況の確認
• 公開されたIoCを使ったネットワーク内の不審通信の調査
• 外部への不審なSSH接続の有無の確認
• PeopleSoftのアクセスログの精査

完全パッチのリリース後は速やかな適用が不可欠だ。

筆者の見解

今回の事案で特に気になるのは、CVSS 9.8という最高クラスの深刻度にもかかわらず、Oracleが暫定緩和策の提供にとどまり完全なパッチをまだリリースしていないという点だ。リモートから認証なしに悪用可能なSSRFが根本原因であることを考えると、パッチ待ちの間に追加の被害が出るリスクは高い。

高等教育機関が標的の68%を占めているという事実も見逃せない。大学は研究データや学生の個人情報、財務情報を大量に保持しながら、セキュリティリソースが民間企業に比べて手薄なケースが多い。ShinyHuntersがその構造的な弱点を狙い撃ちにしているのは、攻撃者の視点から見れば合理的な判断と言える。

エンタープライズソフトウェアのベンダーに求めたいのは「ゼロデイが公になってから対応する」モデルからの脱却だ。定期的な外部ペネトレーションテストや脆弱性診断の実施、そして重大脆弱性に対するパッチリリースまでのSLA明示は、大規模ユーザーベースを持つベンダーとしての最低限の責任だろう。PeopleSoftを利用している組織のIT担当者は、今すぐIoCの確認と緩和策の徹底を進めてほしい。

出典: この記事は PeopleSoft 0-day affecting hundreds of organizations steals gigabytes of data の内容をもとに、筆者の見解を加えて独自に執筆したものです。