ShinyHuntersは、OracleのPeopleSoftソフトウェアスイートに存在するゼロデイ脆弱性を悪用し、100以上の組織からデータを窃取した可能性があります。
PeopleSoftは、給与計算、サプライチェーン管理、人事(HR)、学生管理などに活用されるエンタープライズ・リソース・プランニング(ERP)アプリケーションスイートです。主に大企業や政府機関、高等教育機関などの大規模組織を対象としています。
MandiantおよびGoogle脅威インテリジェンスグループ(GTIG)の新たな調査によると、2026年5月27日から6月9日にかけて、ShinyHunters恐喝グループは、PeopleSoftの基盤となる統合開発環境(IDE)およびランタイムプラットフォームであるPeopleToolsのゼロデイ脆弱性を悪用しました。具体的には、PeopleSoft環境全体でエージェントを追跡・管理するバックエンドサービス「Environment Management Hub(EMHub)」に存在する脆弱性が標的となりました。この問題により、認証なしでリモートコード実行(RCE)が可能な状態でした。その後、CVE-2026-35273という識別子が付与され、深刻度を示すCVSSスコアは最高水準の9.8と評価されています。
ShinyHuntersは、このゼロデイ脆弱性を利用して100以上の組織にわたる300以上のPeopleSoftインスタンスを侵害したと主張しています。MandiantとGTIGの研究者はブログ記事の中で、脆弱なエンドポイントを持つ可能性のある100以上の組織に警告を発したことを明らかにしています。Dark Readingへの電子メールの中で、Trend MicroのZero Day Initiativeで脅威啓発を担当するDustin Childs氏は、今回の悪用を「限定的」と評価しつつも、Trend Microのエンタープライズセキュリティ部門TrendAIによる調査は現在も継続中であると述べています。
ShinyHunters、大学を標的に
MandiantとGTIGによると、ShinyHuntersは5月27日から世界各地の組織でCVE-2026-35273の悪用を開始しました。その過程で、グループは誤って複数のディレクトリをインターネット上に公開してしまい、研究者たちはその後の動きを把握することができました。
グループはコマンド&コントロール(C2)オペレーションに、ブラウザベースのオープンソースリモート管理ツールであるMeshCentralを使用しました。活動を隠蔽するため、MeshCentralのエージェントにMicrosoft Azureのサービス名を付けてカモフラージュしています。さらに、MeshCentralのコマンドラインインターフェース(CLI)を使って偵察活動を行い、カスタム開発したSSHクレデンシャルスプレー攻撃スクリプトで被害者の環境内に横展開し、Zstandard圧縮アルゴリズムを使って大量のデータを外部に持ち出しました。
脅威アクターは6月9日にキャンペーンを締めくくり、自らのウェブサイトで入手したデータを公開しました。この時点でTrendAIの研究者たちが脆弱性を特定し、Oracleに通知。Oracleは翌日にパッチを公開し、セキュリティアドバイザリを発表しました。
Googleが連絡を取った100以上のリスクのある組織のうち、大半は米国に拠点を置いており、68%が高等教育機関に関係していました。英国のノッティンガム大学は被害を受けた組織のひとつであることを公式に認め、学生記録システムから「相当量のデータ」が流出したことを明らかにしています。オンライン上の通知では、在学生と卒業生の双方が影響を受けたことを認めていますが、具体的にどのような種類のデータが盗まれたかについては言及していません。
ShinyHuntersはダークウェブのリークサイトに、ノッティンガム大学を最近の被害組織として掲載し、40GB以上の機密データを保有していると主張しています。また、他にも複数の企業を最近の被害組織として列挙していますが、それらの攻撃は確認されておらず、今回のPeopleSoftゼロデイキャンペーンと関連しているかどうかも不明です。
教育機関が今すぐ取るべき対策
ShinyHuntersによる今回のゼロデイキャンペーンは、同グループが教育分野に対して行った一連の攻撃の最新事例です。昨年9月には、グループに関係する脅威アクターが、広く利用されているCanvasラーニング・マネジメント・プラットフォームで知られるエドテック企業Instructureに侵入しました。ShinyHuntersは今春も同社への侵入に成功し、Canvasを混乱状態に陥れました。その後Instructureは、脅威アクターと「合意に達した」と発表しており、ShinyHuntersの身代金要求に応じたものとみられています。
PeopleSoftへの攻撃に関して、MandiantとGTIGの研究者は「複数のケースで、本来であれば脆弱な組織を守るウェブアプリケーションファイアウォール(WAF)が機能していることを確認しました」と指摘しています。ただし、WAFを万能の解決策として推奨はしておらず、「これらは恒久的な保護手段ではありません。できるだけ早くOracleの緩和策ガイダンスに従うことを推奨します」と述べています。
Oracleは、各組織に対してこの脆弱性のパッチ適用を「強く」推奨しています。MandiantとGTIGはブログ記事の中で、その他の緩和策も提案しており、最優先事項としてEMHubサービスを無効化するか、外部ネットワークからのアクセスをブロックすることを挙げています。また、EMHubエンドポイントへのアクセスを制限しても、「コアとなるユーザー向けのPeopleSoftインターネットアーキテクチャ(PIA)ブラウザセッションには不要」なため、PeopleSoftの動作に支障はないとも述べています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/shinyhunters-oracle-zero-day-higher-ed
