Googleは、Oracleが今週対策を講じたPeopleSoftの脆弱性が、ShinyHuntersによってゼロデイとして悪用され、複数の組織からデータが窃取されたことを確認しました。
Oracleは、CVE-2026-35273に関する緊急アドバイザリとセキュリティアラートを公開しました。この脆弱性は、PeopleSoft Enterprise PeopleToolsバージョン8.61および8.62、ならびにPeopleSoft Enterpriseアプリケーションに影響を与える、認証不要のリモートコード実行(RCE)の重大な脆弱性です。
同社は緩和策を公開していますが、正式なパッチはまだ提供されていないようです。
PeopleSoftは、多くの大規模組織がHR、給与計算、財務、サプライチェーン、キャンパス運営など幅広い業務管理に利用しているERPソフトウェアスイートです。
同ソリューションは多くの業界で使用されていますが、CVE-2026-35273を悪用したShinyHuntersのキャンペーンは、主に教育分野を標的にしていたとみられています。英国のノッティンガム大学が最初の被害確認事例となっています。
MandiantとGoogle脅威インテリジェンスグループ(GTIG)は、5月27日から6月9日にかけてPeopleSoftゼロデイの悪用に関連する活動を観測したと報告しています。これらの攻撃は、GoogleがUNC6240として追跡しているShinyHuntersの仕業と断定されています。
Googleの研究者は、潜在的な被害を受けた可能性がある世界100以上の組織に通知を行いました。その大多数は米国に拠点を置いており、68%が高等教育機関です。
同社によると、攻撃をブロックできた標的もありましたが、システムへの侵入とデータ窃取の被害を受けた組織もあったとのことです。
ShinyHuntersは、100の組織が保有するおよそ300件のPeopleSoftインスタンスを標的にしたと主張しています。
MandiantとGTIGは次のように説明しています。「攻撃者のステージング環境には、正規のクラウドエンドポイントを装ったカスタムMeshCentralエージェントがホストされており、管理者権限によるコマンドの実行や、カスタムの横断移動・改ざんスクリプト([victim_abbreviation]_fanout.sh)の展開に使用されました。このキャンペーンは、2026年6月9日にShinyHuntersのデータリークサイト(DLS)で公開された、組織の窃取データの流出と直接的な関連があります。」
Googleは、攻撃に関する技術的な詳細や侵害の痕跡(IoC)とともに、修復およびセキュリティ強化に向けた推奨事項も公開しています。
Oracleは、SecurityWeekの問い合わせに対してまだ回答していません。
CVE-2026-35273の報告でOracleから謝辞を受けたTrendAI(Trend Microのエンタープライズ部門)は、SecurityWeekに対し、現時点では同脆弱性の悪用は限定的であると認識しているものの、調査は現在も継続中であると述べています。
