セキュリティ
ノッティンガム大学は多くの被害組織の最初の一つ——ShinyHuntersがThe Regに語る
データ窃取・恐喝グループのShinyHuntersは、Oracle PeopleSoftの深刻な脆弱性をゼロデイとして悪用し、ノッティンガム大学を含む100以上の組織を、300件の脆弱なインスタンスを通じて侵害したと主張しています。
このサイバー犯罪グループの広報担当者は木曜日、The Registerに対し、CVE-2026-35273を悪用してノッティンガム大学のPeopleSoftシステムに侵入し、現役・卒業生を含む数十万人分の個人データと請求記録、計40GBを窃取したと語りました。
ShinyHuntersは火曜日に英国の同大学をデータリークサイトに掲載し、その日のうちに盗んだファイルを公開しました。大学側が身代金の支払いを拒否したためとみられます。
「リークサイトへのノッティンガム大学の掲載は、公式に確認された最初の事例の一つです」とShinyHuntersの広報担当者は語りました。「被害を受けた組織への連絡はまだ始めたばかりであり、各組織との合意に向けて積極的に動いています」
残りの約100の被害組織をいつ公開するかについては、明言しませんでした。
PeopleSoftは、大企業や各種機関が人事・給与・請求管理、サプライチェーン、学生記録などの管理に広く利用しているエンタープライズソフトウェアスイートです。
CVE-2026-35273はCVSSスコア9.8の脆弱性で、HTTP経由でネットワークにアクセスできる未認証のリモート攻撃者がPeopleSoft Enterprise PeopleToolsを侵害し、プラットフォームを完全に乗っ取ることを可能にします。
水曜日、ShinyHuntersが同校のデータを流出させた翌日、ノッティンガム大学は侵害を公式に認め、Oracleは帯域外のセキュリティアラートを発行しました。ただし、この脆弱性を修正するパッチがすでにリリースされているかどうかは不明です。The RegisterはOracleに問い合わせましたが、回答は得られませんでした。
Google傘下のMandiantの最高技術責任者(CTO)であるCharles Carmakal氏は木曜日、LinkedInに短い投稿を行い、PeopleSoftの脆弱性が「実際に悪用が確認されている」2つのゼロデイ脆弱性のうちの1つであると警告しました。
「Oracleは緩和策をリリースしました」とCarmakal氏は記しました。「パッチは間もなく提供される見込みです」
なお、もう1つのゼロデイ脆弱性は、こちらのCisco Catalyst SD-WANマネージャの脆弱性です。®
