サイバー犯罪
ノッティンガム大学や名前のない100以上の被害組織の仲間入り
ShinyHuntersは、Oracle PeopleSoftのゼロデイ脆弱性を悪用して100以上の組織への侵入を果たし、ヨーロッパ評議会から297GBを超えるデータを窃取したと主張しています。
この恐喝グループのデータリークサイトへの投稿によると、盗み出された429,000件のファイルには、人事・給与記録、給与明細、発注書、履歴書、従業員の給与・銀行口座・税務・医療記録が含まれているとされています。
ヨーロッパ評議会の広報担当者はThe Registerに対し、「現在、事案の調査と状況の評価を行っている」と述べましたが、それ以上のコメントは差し控えました。
このサイバー犯罪グループの広報担当者は本紙に対し、ヨーロッパ評議会もOracle PeopleSoft攻撃による被害組織の一つだと説明しました。Oracleは本紙の問い合わせにいまだ回答しておらず、CVE-2026-35273として追跡されているこの脆弱性にパッチが適用されているかどうかは不明な状況です。
ShinyHuntersはかつて本紙に語っていたところによると、同グループはこのCVEを悪用して300件の脆弱なインスタンスにわたる100以上の組織に侵入しており、その被害者にはノッティンガム大学も含まれているとのことです。
先週、犯罪者たちは同英国大学をリークサイトに掲載し、その後、在学生・卒業生約454,600人分の個人記録・学業記録を含むデータを流出させました。
一方、先週末に公開されたGoogleの脅威レポートは、5月27日から6月9日にかけて「CVE-2026-35273の悪用と一致する」悪意のある活動を確認したと報告しており、同社のインシデント対応チームが「潜在的に脆弱なエンドポイントと相関するIPアドレスを持つ」100以上のグローバル組織に通知を行ったと述べています。
これらの組織の大半は米国に拠点を置いており、そのうち68パーセントが高等教育セクターで活動していました。
この最新の攻撃は、大学およびK-12の学生・教師・職員のデータを狙った別のShinyHuntersによる侵入に続くものです。
5月中旬、教育テクノロジー大手のInstructureは、ShinyHuntersがデジタル学習プラットフォーム「Canvas」に侵入して2億7,500万人の学生・教師・職員に関するデータにアクセスした後、このデータ窃取・恐喝グループと「合意に達した」と発表しました。これは企業的な表現であり、実質的には「身代金要求に応じた」ことを意味します。なお、ShinyHuntersがCanvasに侵入したのはその前のことです。
3月には、ShinyHuntersがSalesforce関連の侵入の波の一環として、K-12向けソフトウェアプロバイダーのInfinite Campusからデータを盗んだと主張しました。同教育テクノロジー企業は支払いを拒否したため、グループはその後、Infinite Campusから盗んだとされるデータを公開しました。その内容には137,000人分のメールアドレスのほか、氏名、電話番号、住所、サポートチケットが含まれています。
Infinite Campusはデータ侵害通知の中で、流出したファイルは主に「学校職員の氏名と連絡先情報」から構成されており、「その大半は学校のウェブサイトに一般的に掲載されているディレクトリ情報だ」と述べています。®
