脅威グループShinyHunters、Oracle PeopleSoftの脆弱性を突き大学への大規模データ窃取攻撃を開始

この攻撃では、過去の既知の脆弱性と新たなゼロデイ脆弱性を連鎖的に組み合わせる「ガジェットチェーン」と呼ばれる手法が使用されました。BleepingComputerとの通信によると、この攻撃はすべての環境で成功するわけではなく、各組織のPeopleSoftの設定状況によって成否が左右されるといいます。

ShinyHuntersは「支払わなければ暴露する」恐喝モデルを採用しており、被害組織が身代金の支払いを拒否した場合、窃取したデータは暴露サイト上で公開されます。

主な標的は教育機関

今回の攻撃で最も大きな打撃を受けたのは大学でした。ShinyHuntersは高等教育機関に集中的に攻撃を仕掛けました。これは、2026年前半に発生したCanvas/InstructureやSalesforce Experience Cloudに対する攻撃で確立されたパターンを踏襲したものです。

ノッティンガム大学は被害を確認しました。 攻撃者は2026年5月末に、Oracle PeopleSoftを基盤とする同大学の学生記録システム「Campus Solutions」に侵入しました。ShinyHuntersが公開した窃取データのサンプルには、学生、志願者、奨学金、移民、健康、および管理業務に関する記録が含まれていました。同グループは、請求・支払い記録、クレジットカード情報、学生金融データ、さらにノッティンガム大学の英国、マレーシア、中国の各キャンパスのポータルからエクスポートしたデータなど、40GB以上の機密情報を窃取したと主張しています。

変化する攻撃手法：ビッシングからゼロデイ攻撃へ

今回のPeopleSoftキャンペーンは、ShinyHuntersにとって戦術上の大きな転換点です。2025年から2026年初頭にかけて、同グループはほぼ全面的にIDとアクセス権の悪用、つまりビッシング、ソーシャルエンジニアリング、OktaのSSOアカウント乗っ取り、OAuthトークンの悪用などに依存して組織に侵入していました。MandiantやGoogle脅威インテリジェンスグループの報告書は、ShinyHuntersがITヘルプデスク職員を装い、従業員を企業のロゴを用いたフィッシングサイトに誘導し、シングルサインオンの認証情報と多要素認証（MFA）のコードを窃取する手口を詳細に記録しています。

脅威インテリジェンス企業The Crosswalkの報告書は、ShinyHuntersが「ソフトウェアの脆弱性を悪用することはほぼ皆無」であり、その代わりにヘルプデスクの本人確認、従業員のMFA、サードパーティのSaaSアプリケーションのOAuthトークンを標的にしていると明言していました。今回のPeopleSoft攻撃は、その従来の型を完全に打ち破るものです。ゼロデイを含む本物のソフトウェアエクスプロイトが使用されており、これは彼らの活動において前例のないことです。

オラクルと英国当局の反応は限定的

2026年6月10日の時点で、オラクルは今回のPeopleSoftキャンペーンに関する公式声明やセキュリティアドバイザリを発表していません。また、この攻撃活動に関連するパッチも発表・確認されていません。

英国当局、特に情報コミッショナーオフィス（ICO）や法執行機関からも、本件に関する具体的な公式コメントは出ていません。ノッティンガム大学は内部的に対応し、学生に直接状況を知らせるとともに、調査のためにシステムを一時的にオフラインにしました。

侵害指標（IoC）：現状と課題

セキュリティコミュニティは、このキャンペーンに関連するIPアドレスやファイルハッシュなどのPeopleSoft特有の侵害指標（IoC）を、まだ広く公開していません。HuntressはShinyHuntersのインフラに関連するネットワーク指標を含む、より広範な脅威アクタープロファイルを公開していますが、これらはSaaSに焦点を当てたキャンペーンに関するものであり、今回のPeopleSoftを標的としたものではありません。

The Crosswalkの報告書では、ShinyHuntersの典型的な手口であるID悪用は、ソフトウェアの脆弱性に固有のIoCをほとんど生成しないため、この特定のキャンペーンに対する防御的な調査がより困難になっていると指摘しています。

2026年におけるShinyHuntersの攻撃エスカレーション

今回のPeopleSoftキャンペーンは、2026年に入ってからの激しい攻撃活動の延長線上にあります。

• 2026年初頭： 「AuraInspector」キャンペーンにより、設定不備のあったSalesforce Experience Cloud環境を悪用。ShinyHuntersは約400の組織に影響を与えたと主張。
• 2026年2月： ウィン・リゾーツの侵害で80万件以上の従業員記録が流出。初期侵入にもOracle PeopleSoftの脆弱性が関連。
• 2026年4月〜5月： Canvas/Instructureの学習管理システムの侵害。教育機関向けとしては史上最大のデータ窃取事件となり、ShinyHuntersは約8,000～9,000の教育機関から2億7,500万件の記録を窃取したと主張。
• 2026年5月〜6月： チャーター・コミュニケーションズへの侵害で490万件の顧客記録が流出。
• 2026年6月： 今回のOracle PeopleSoftキャンペーンにより、さらに100超の組織と300超のPeopleSoft環境が被害に。

ベライゾンが発表した「2026年データ侵害調査報告書（DBIR）」は、侵害の主要な発生経路として、19年の報告史上初めて「脆弱性の悪用」が「認証情報の窃取」を上回ったという構造的変化を確認しました。ShinyHuntersがID悪用から実際のエクスプロイトチェーンへと戦術を変更したことは、この広範なトレンドと一致しており、広く導入されているエンタープライズプラットフォームに対する大規模な並行攻撃が今後も続く可能性が高いことを示唆しています。

大学にとって、その教訓は痛烈です。CanvasやPeopleSoftのようなプラットフォームを遠隔教育や事務管理に不可欠なものにしたのと同じ「ソフトウェアの集約化」が、攻撃者に未対策の弱点を発見されたときに、それらを壊滅的な単一障害点へと変えてしまうのです。