攻撃者は認証不要の重大なRCE脆弱性を悪用して高等教育機関に侵入し、ステルス型リモートアクセスツールを展開。盗み出したデータを公開した。
新たに公開されたOracle PeopleSoftのゼロデイ脆弱性が、大学などの教育機関を主な標的としたShinyHuntersによる恐喝キャンペーンの主要な武器として使用されました。
攻撃者が悪用したのは、PeopleSoftのEnvironment Managementコンポーネントにおけるリモートコード実行(RCE)の重大な脆弱性です。Oracleは2026年6月10日にこの脆弱性について顧客への警告を開始しました。同社はアドバイザリの中で即時パッチ適用を強く呼びかけていますが、脆弱性が実際に悪用されているとの情報は示されていませんでした。
Google Cloudの脅威インテリジェンスチーム(GTIG)によると、この攻撃はOracleが問題を公式に認める前の5月27日から6月9日にかけて展開されたとのことです。Googleはインターネットに公開されたシステムが潜在的に脆弱と思われる100以上の組織に通知を行い、確認された標的の68%が高等教育セクターに属していたことを明らかにしました。
「複数の組織が攻撃のブロックや脆弱性の修正に成功した一方、侵害を受けた組織もあり、盗まれたデータがShinyHuntersのDLS(データリークサイト)に公開される事態となりました」とGTIGはブログ投稿で述べています。
OracleはCSO(本誌)からのコメント依頼に対し、即座には応答しませんでした。
ShinyHunters、またはその名義を使用しようとするグループは、6月9日にDLS上で攻撃の証拠となるダウンロード可能なデータを公開したと報告されています。その投稿では、侵害されたデータには「40GBを超える請求・支払い記録、クレジットカード・支払い詳細、学生の財務データ、キャンパスポータルのエクスポート」が含まれると主張されていました。
6月11日の追加投稿では、攻撃者が接触した被害者が「期限」内に応答しない場合はデータを漏洩させると脅迫しました。
PathlockのチーフストラテジーオフィサーであるJames Davison氏は、この事件が進化する脅威の状況を反映していると述べています。「Oracle PeopleSoftの侵害は、今日のエージェント型AIの世界においてすべてのERPが直面する新たな攻撃の典型例です」と語り、AI時代における攻撃の容易さを指摘しました。「企業はERPのセキュリティとコントロールを再評価して適応していく必要があります。現状は依然として脆弱なままです」
攻撃者に先手を与えたPeopleSoftの脆弱性
今回のキャンペーンは、Oracle PeopleSoftのEnvironment ManagementコンポーネントにおけるCVSSスコア9.8の重大な脆弱性 CVE-2026-35273を利用したものです。この脆弱性は、インターネットに公開された脆弱なシステムへの認証なしのRCEを可能にするものです。
Oracleのアドバイザリによると、この脆弱性はPeopleSoft Enterprise PeopleToolsのバージョン8.61および8.62に影響し、緩和策はサポート対象バージョンでのみ利用可能とのことです。影響を受ける可能性のある以前のバージョンについては、サポート対象バージョンへのアップグレードが推奨されています。
CVE-2026-35273を悪用して初期アクセスを確立した後、攻撃者は侵害したシステムへの持続的なアクセスとリモートコントロールの維持を図りました。Googleの研究者は、ShinyHuntersに関連するクラスターであるUNC6240が、オープンソースのリモート監視・管理(RMM)プラットフォームであるMeshCentralのカスタマイズ版を展開しているのを観測しました。その際、プラットフォームを正規のMicrosoft Azureサービスに偽装していました。
「(MeshCentralの)エージェントは、Windows、Linux、macOS、FreeBSDを含むさまざまなオペレーティングシステムにわたるリモート管理を可能にするために、リモートデバイス上で動作するソフトウェアです」と研究者らは述べています。「静的解析により、これらのエージェントはコマンド&コントロール(C2)サーバー wss://azurenetfiles.net:443/agent.ashx との通信を確立するようにハードコードされていることが判明しました」
インストール後、このツールにより攻撃者はコマンドをリモートで実行し、感染した環境との継続的なやり取りが可能になりました。
攻撃者が残した痕跡
Googleの調査の一部は、攻撃者自身が犯した作業上のミスによって進展しました。このキャンペーンが広く注目されるきっかけとなったのは、Xで@nahamike01として知られるセキュリティ研究者が、この作戦のインターネット公開インフラを発見したと報告したことでした。
「ShinyHuntersはPeopleSoft環境への継続的な標的化を示す複数のディレクトリを公開状態にしていました」と研究者はXの投稿で述べています。「MeshCentralエージェントを含むステージング素材や、改ざん用スクリプト、クレデンシャルスプレイスクリプトも確認できました」
Googleは、@nahamike01が指摘した攻撃者のディレクトリ公開状態が、ステージング素材、カスタマイズされたエージェント、攻撃者のコマンド履歴などの内容分析に役立ったと述べています。これらのディレクトリは5つの連続するIPアドレス(142.11.200[.]186-190)にわたって公開されており、主要な侵害の痕跡(IOC)となっています。
Googleは組織に対し、CVE-2026-35273に対するOracleの修正プログラムを適用し、このキャンペーンに関連する侵害の痕跡についてPeopleSoftの展開状況を確認するよう求めています。また研究者らは、特権アクセスの調査、包括的なログの有効化、無許可のMeshCentralインストールに関する監視強化を組織に推奨しています。
「この攻撃は、従来の境界セキュリティとIdPレベルの認証は必要ではあるが、それだけでは不十分であることを示しています」とDavison氏は述べています。「現代のERPセキュリティには、予防的コントロール、継続的な監視、ユーザーアクティビティの可視化を組み合わせた多層的アプローチが求められます。ユーザーアクティビティの可視化は特に重要であり、異常を検出するための行動監視はもはや『あれば便利』な機能ではありません」
