Google CloudのMandiant CTOであるCharles Carmakal氏は本日、Oracle PeopleSoft PeopleToolsにゼロデイ脆弱性(CVE-2026-35273)が存在し、すでに実環境での悪用が確認されていると警告しました。
この警告は、Oracleが同脆弱性に関する緊急セキュリティアラートを公開した翌日に発せられたものです。当該脆弱性は認証不要でリモートから悪用可能であり、リモートコード実行につながる可能性があります。影響を受けるバージョンはPeopleSoft PeopleTools 8.61および8.62で、サポートが終了した旧バージョンにも影響が及んでいる可能性があります。
Oracleはこの脆弱性の報告について、TrendAI Zero Day InitiativeおよびTrendAI Researchの研究者に謝意を示しました。
セキュリティアラートには「パッチ提供ドキュメント」へのリンクが掲載されていますが、当該ドキュメントはサポートアカウントを持つ顧客のみアクセス可能なため、現時点でパッチが利用可能かどうかは不明です。
Help Net SecurityはCVE-2026-35273の積極的な悪用が実際に行われているかどうかについてOracleに確認を求めていますが、現時点では回答を得られていません。
ShinyHuntersによるPeopleSoftインスタンスへの攻撃
Oracleがアラートを公開したのと同日、Bleeping Computerは報道を掲載しました。それによると、サイバー犯罪グループ「ShinyHunters」がOracle PeopleSoftサーバーへの侵入を繰り返し、100以上の組織からデータを窃取したと主張しているとのことです。
この恐喝グループの主張によれば、標的となった組織の大半は教育機関であり、オンプレミス・クラウドを問わずPeopleSoftのインスタンスが「既知の脆弱性とゼロデイ脆弱性を組み合わせた『ガジェットチェーン』」によって侵害されたとしています。
被害を受けた組織の一つにノッティンガム大学が含まれているとみられ、同大学はサイバーセキュリティインシデントが発生したことを公式に認め、影響を受けた在学生および卒業生に直接通知を行ったと発表しました。
ShinyHuntersはこの侵害を主張したうえで、約50万人の現役・元学生の個人情報と学籍記録を含む数十ギガバイトの盗難データを流出させました。
あるセキュリティ研究者は、攻撃で使用されたツールが格納された公開ディレクトリを発見し、ShinyHuntersによるPeopleSoftインスタンスへの継続的な攻撃を事実上裏付けたと見られています。
研究者は次のように指摘しています。「/pay_or_leakエンドポイントには20以上の組織から盗まれたデータが存在しており、多くは名前が明示されていますが、6月2日と6月4日分はまだ公開されていません。同じbashヒストリーログには、PeopleSoftインフラ全体に改ざんマーカーを拡散させることを目的に作成されたシェルスクリプト(uon_fanout.sh)も含まれています。」
さらに「このコードから、攻撃者がPeopleSoftに精通していることは明らかです。アプリサーバー設定ファイル(psappsrv.cfg)から認証情報を抽出し、接続されたすべてのノードをマッピングしたうえで、ウェブ・アプリ・バッチの各ティアを特定しています」とも述べています。
また研究者は、この攻撃に関連するIPアドレスとドメインの一覧も公開しており、PeopleSoftの管理者やセキュリティ担当者が侵害の痕跡を確認する際に活用できます。
翻訳元: https://www.helpnetsecurity.com/2026/06/11/oracle-peoplesoft-under-attack-cve-2026-35273/
