ShinyHunters、Oracle PeopleSoftのゼロデイを悪用し100組織超に侵入

Oracleはこの脆弱性を報告したとして、TrendAI Zero Day InitiativeとTrendAI Researchの研究者に謝意を示しています。ネットワークからの攻撃が可能で、攻撃の複雑さが低く、認証もユーザーの操作も不要という、悪用のしやすさから、攻撃者に存在が知られた瞬間に大規模な攻撃の標的となるのは必然でした。

パッチなき攻撃の全容：時系列で追う

今回の攻撃キャンペーンは、Google傘下のMandiantによって「UNC6240」として追跡されているグループ、すなわち公に「ShinyHunters」として知られる集団によるものと断定されました。Mandiantは、この脆弱性が活発に悪用された期間を2026年5月27日から6月9日までと特定しています。

Oracleがセキュリティ警告を発行し、修正パッチをリリースしたのは2026年6月10日であったため、攻撃が行われていた全期間を通じて、この脆弱性は「ゼロデイ」の状態でした。この期間中、攻撃者はインターネット上に公開されたPeopleSoftインスタンスを広範囲にスキャンし、「CVE-2026-35273」を利用して未パッチのサーバーへ初回侵入の足掛かりを得ました。

侵入後、攻撃者は侵害した環境内で内部調査（ラテラルムーブメント）を行いました。セキュリティ企業Field Effectの研究者らは、攻撃者が**「CVE-2026-35273」と、他の認証情報を悪用する手口や、さらなる別の脆弱性を組み合わせていた**と指摘しています。これは、単純な「侵入して一気に奪う」という手口よりも、侵害範囲を最大化し、価値の高いデータ保管場所を探し出すことを目的とした多段階のアプローチです。

データの窃取に成功した後、グループは常套手段である恐喝へと移行しました。被害組織に対し、要求が満たされなければ窃取した情報を公開すると脅迫し、金銭の支払いを要求したのです。ランサムウェア（身代金要求型ウイルス）をばらまくのではなく、データの暴露をちらつかせて脅すことを主軸とする点が、ShinyHuntersの活動に一貫して見られる特徴です。

何が盗まれたのか：被害データの実態

窃取されたデータの種類は被害組織によって異なりますが、侵害された組織で共通して確認された、特に価値の高い情報カテゴリは以下の通りです。

• 学生、教職員の個人識別情報（PII）。
• 学業記録、在籍データ、奨学金情報など。これは被害が教育機関に集中している状況を如実に反映しています。
• 企業のPeopleSoft導入環境からは、給与・福利厚生情報を含む人事・給与データ。
• システム内部の設定ファイルや認証情報。攻撃者はこれらを悪用して、侵害した環境内でさらに横展開を図りました。

盗まれた情報の範囲の広さは、人事、財務、そして学内の基幹業務まで、機密性の高いあらゆる記録を集約する中央ERPシステムとしてのPeopleSoftの役割を反映しています。一度の侵入で、組織と個人の長年にわたるデータが丸裸にされる危険性を示しています。

Oracleの異例の緊急対応

2026年6月10日、Oracleは通常の四半期ごとの修正パッチサイクルを破り、「CVE-2026-35273」に関する緊急（アウトオブバンド）セキュリティ警告を発行しました。同社は同日中にPeopleTools 8.61および8.62向けのパッチをリリースしましたが、これは異例の早急な対応であり、いかに事態が深刻で、悪用が広範にわたっていたかを物語っています。

Oracleの勧告は非常に直接的な表現で、「この脆弱性は認証なしでリモートから悪用可能」「悪用された場合、リモートでコードを実行される可能性がある」と警告し、全顧客に対し、パッチの適用を「優先度の高いリスク軽減策」として強く求めました。

米国政府の警鐘：CISAが対策を義務化

Oracleの勧告から2日後の2026年6月12日、米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、「CVE-2026-35273」を**「既知の悪用脆弱性（KEV）カタログ」**に追加しました。この追加により、米国の連邦政府機関は期限までに修正プログラムを適用することが義務付けられました。同時に、これは官民を問わず全ての組織に対し、この脆弱性が現実に活発な攻撃を受けているという強力な警告シグナルとなりました。

カナダのサイバーセキュリティセンターも6月11日に注意喚起「AV26-587」を発行し、活発な悪用への警戒と、管理者へのOracleのガイダンスに直ちに従うよう指示を出しています。政府機関によるこうした連携した動きからも、今回のインシデントの深刻度と規模の大きさがうかがえます。

今すぐ取るべき緊急対策

Oracle、CISA、Rapid7、その他のセキュリティ企業のガイダンスに基づき、PeopleSoftを稼働させている組織は、以下の対策を遅滞なく実施すべきです。

1. 緊急パッチの適用：PeopleTools 8.61および8.62用にリリースされた、Oracleのアウトオブバンドパッチを直ちに適用してください。
2. サポート対象外バージョンの確認：もしもパッチ提供範囲外のバージョンを使用している場合は、パッチ適用前に、サポート対象バージョンへの緊急アップグレードを計画してください。
3. フォレンジック（証拠保全・調査）の実施：PeopleSoftアプリケーションサーバーやデータベースサーバーに、Webシェル（遠隔操作用の不正プログラム）、不正なスクリプト、認証情報を窃取するツールの痕跡がないか調査してください。
4. 全資格情報のリセット：サービスアカウントやデータベース接続文字列など、PeopleSoft環境内で保存・利用されている、またはそこからアクセス可能な全ての認証情報を速やかに変更してください。
5. ネットワークアクセスの制限：可能であれば、インターネットからのPeopleSoftのHTTP/HTTPSインターフェース（ポート80および443番）へのアクセスを制限するか、VPN経由でのみ接続できるように設定してください。
6. 異常な外部通信の監視：PeopleSoftサーバーから発生する大容量のデータ送信を監視してください。心当たりのない外部IPアドレスへの大量のデータ転送は、情報流出の強力な兆候です。

侵害の痕跡（IoC）：何を監視すべきか

調査の進展とともに具体的なIoCも報告されています。早期の報告から浮かび上がった主な指標は以下の通りです。

• PeopleTools内の「Updates Environment Management」エンドポイントを標的とした不正なHTTPリクエスト。
• PeopleSoftアプリケーションサーバー上に出現するWebシェルや不審なスクリプトファイル。
• 普段は見られないIPアドレスや、めったにログインしないサービスアカウントからの不自然な認証イベント。
• PeopleSoftデータベースサーバーから社外の送信先への大量のデータ転送。
• 侵害されたサーバー上で新たに作成されたサービスアカウントやスケジュールタスク。

攻撃者が管理する具体的なIPアドレスも公開されており、例えばPathlockは142.11.200.186～190、108.174.202.99、176.120.22.24からの接続や、README-IF-...という名前の身代金要求ファイルをPeopleSoftのログで検索するよう呼びかけています。

ShinyHuntersと教育機関：繰り返される脅威のパターン

今回のOracle PeopleSoftを狙ったキャンペーンは、ShinyHuntersにとって決して例外的な行動ではありません。このグループは、いくつかの戦略的要因から、教育機関を標的にする傾向が過去の事例からも明らかになっています。

• 豊富で集約されたデータ群：大学やカレッジは、数十万人に及ぶ個人の長年にわたる個人情報、学業、財務記録を統合した巨大なPeopleSoftシステムを運用しています。
• 修正の遅れ：高等教育機関のPeopleSoft環境は高度にカスタマイズされていることが多く、アップデートのサイクルが不規則で遅れがちです。そのため、いったん攻撃手法が武器化されると格好の標的となります。
• データ恐喝モデル：ShinyHuntersは、システムをロックするランサムウェアよりも、データの窃取とそれを材料にした恐喝に注力します。盗まれた情報が高機密であるほど支払いを得られる可能性が高まるため、このモデルは成功率が高いのです。
• 広範かつ日和見的なスキャン：特定の価値ある標的だけを狙うのではなく、特定の業界全体を対象に広くスキャンを行います。これにより、「CVE-2026-35273」のような深刻な脆弱性が表面化すると、その足跡を最大限に広げるのです。

2026年6月の攻撃は、大学や教育関連のテクノロジープラットフォームを標的とした同グループの過去の攻撃の延長線上にあります。当時も数百万件の記録が盗まれ、闇市場のフォーラムで売買されました。PeopleToolsにおけるゼロデイのリモートコード実行（RCE）脆弱性という強力な武器と、セキュリティ対策が慢性的に手薄な教育機関という標的の組み合わせは、破滅的な効果を発揮したのです。

現在もなお自組織のリスクを評価中の組織にとって、最優先事項は修正パッチの適用です。それに加えて、今回の事件は、あらゆるインターネット接続された重要サービスと同様に、大規模なERPプラットフォームにも階層化された防御、継続的な監視、迅速な対応能力が必要であることを再認識させる教訓となりました。