ShinyHuntersがOracle PeopleSoftを大規模侵害：FBIへのハッキング計画とOracleの沈黙

窃取されたとされるデータの種類

盗まれたと報告されているデータには以下のものがあります。

• 個人識別情報（PII）：氏名、メールアドレス、電話番号、住所など
• 人事・財務記録：PeopleSoftシステム内の従業員情報や給与データ
• 学生および教育関係者の記録：Canvas/Instructureの侵害によるもので、数億件規模の記録が盗まれたと主張されています。
• 認証トークン：Salesforceなどの他のクラウド環境へ攻撃を連鎖させるために使用されました。

当初のFBIへの攻撃計画とスワッティング否定

TechCrunchの取材に応じたShinyHuntersのメンバーによると、今回の一連の攻撃における当初の目標は「FBIのPeopleSoftサーバーを侵害すること」でした。なぜFBIを狙ったのか？同メンバーによれば、その目的はアクセス権を獲得した上で、FBIが最近の注意喚起で警告していた一連の「スワッティング事件」に関して、ShinyHuntersの関与を否定する声明を発表することだったといいます。法執行機関は、問題のスワッティング攻撃の一部をShinyHuntersに関連する人物によるものとみていました。なお、このFBIサーバーへの侵入は失敗に終わったと報告されています。

オラクルの対応

2026年6月10～11日時点で、オラクルはShinyHuntersの主張に直接言及する公式声明を発表していません。しかし、2026年6月10日に、同社は「Oracle Security Alert Advisory for CVE-2026-35273」というセキュリティ勧告を公開しました。これは、Oracle PeopleSoft PeopleToolsに影響を与える、リモートから認証なしで悪用可能な深刻度「クリティカル（CVSS 9.8）」の脆弱性に関するものです。悪用に成功すると、リモートコード実行を許す可能性があります。この修正パッチは、セキュリティ研究者やBleepingComputerが、今回のShinyHuntersの攻撃キャンペーンで利用された可能性が高い侵入経路として特定していた特定の技術的欠陥に対処するものでした。オラクルは、対象となるすべての顧客に対し、この修正プログラムを直ちに適用することを強く推奨しています。