Oracle PeopleSoftに存在するゼロデイ脆弱性が、ShinyHuntersと関連する脅威グループによる大規模なサイバー攻撃キャンペーンで悪用されています。これは、Mandiantが木曜日に公開したレポートで明らかになりました。
Googleのインシデント対応部門であるMandiantは、攻撃による影響を受けた可能性のある100以上のグローバル組織に通知しています。対象組織の大多数は米国に拠点を置いており、そのうち3分の2以上が大学や単科大学でした。
被害を受けた組織の一つはノッティンガム大学で、学生記録の「かなりの量のデータ」が漏えいしたことを明らかにしました。
「この件は現在、刑事捜査の対象となっています」と広報担当者はCybersecurity Diveに語りました。「プラットフォームを管理するサードパーティと連携して調査を進めており、引き続き警察の捜査に協力してまいります。」
サイバー攻撃の幕開け
ハッカーたちは5月27日から6月9日にかけて、製品のEnvironment Managementコンポーネントに存在するリモートコード実行の深刻な脆弱性(CVE-2026-35273)を悪用し、Oracle PeopleSoftサーバを標的にしました。この脆弱性の深刻度スコアは9.8です。
Oracleはセキュリティアドバイザリを公開し、Oracle PeopleSoft PeopleToolsバージョン8.61および8.62に存在するこの脆弱性が、認証不要でリモートから悪用可能であることを警告しました。
同社はアドバイザリにおいて、この脆弱性を特定のキャンペーンと直接結びつけることはしませんでしたが、即時対応を強く求め、推奨事項を「高優先度のリスク低減」措置として位置づけています。
Mandiantによると、攻撃者のインフラには、正規のクラウドエンドポイントに偽装したカスタマイズされたMeshCentralエージェントが含まれていました。MeshCentralは、ユーザーがどこからでもコンピュータをリモート管理できるオープンソースプラットフォームです。
Mandiantによれば、標的となった組織の一部は攻撃を阻止するか、脆弱性を修正することに成功しました。一方、侵害を受けた組織から盗まれた情報は火曜日にShinyHuntersのデータ漏えいサイトに掲載されました。
Censysの研究者は、インターネットに公開されているPeopleSoftホストを世界で40件確認しており、これは控えめな推計と述べています。同社は5月26日時点での公開インスタンスの調査でも同様の件数を確認しています。
一方、Halcyonの研究者は、この攻撃がShinyHuntersによる最近の手口の一部であると指摘しています。同グループは、Canvas学習管理システムを提供するInstructureへの攻撃キャンペーンにも関与していたことが明らかになっています。
「PeopleSoftとCanvasのケースで大学から大規模に窃取されたデータは、ShinyHuntersがフィッシングや恐喝を含む標的型キャンペーンを教職員や学生に対して展開するための手段であり続けています」と、Halcyon ランサムウェア研究センターのインテリジェンスアナリスト、Erika Totaro氏は述べています。
防御策
Mandiantは、マルチサーバー構成ではEnvironment Management Hubを無効化し、シングルサーバー構成ではPSEMハブを削除するよう利用者に強く求めています。PSEMハブはPeopleSoft Internet Architecture内のWebアプリケーションであり、ユーザーがWebブラウザでPeopleSoftアプリケーションにアクセスできるようにするものです。
また、アウトバウンドのファイアウォールログとNetFlowデータを監視し、信頼できない外部インターネット宛先へのトラフィックがないか確認することも推奨されます。
