米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Oracle PeopleSoft Enterprise PeopleToolsに存在する重大な脆弱性が積極的に悪用されているとして、CVE-2026-35273として識別されたこの脆弱性に関する緊急警告を発しました。
この脆弱性はCWE-306(重要な機能に対する認証の欠如)に分類されており、認証されていない攻撃者が脆弱なPeopleSoft環境を完全に制御できる状態を招きます。
CISAによると、この脆弱性はランサムウェアキャンペーンでの悪用が確認されており、リスクの深刻度は著しく高まっています。影響を受ける組織に対しては、修復期限の前倒しが求められています。
Oracle PeopleSoft脆弱性の詳細
CVE-2026-35273は、PeopleToolsの主要コンポーネントにおける認証処理の不備に起因しており、リモートの攻撃者が認証機構を完全に回避できる状態となっています。
この脆弱性を悪用されると、システムが完全に侵害される恐れがあります。機密性の高い企業データへの不正アクセス、任意コマンドの実行、さらには社内ネットワーク内での横断的な移動(ラテラルムーブメント)が可能となります。
PeopleSoftは政府機関や大企業において人事・財務・サプライチェーン管理などの用途で広く導入されているため、悪用による影響は甚大になる可能性があります。業務の停止や大規模なデータ漏えいといった深刻な被害が想定されます。
CISAは2026年6月12日、この脆弱性を「既知の悪用脆弱性(KEV)カタログ」に追加しました。ランサムウェア攻撃者による悪用が確認されたことを受けた措置です。
脅威アクターはこの脆弱性を初期侵入ベクターとして活用していると見られており、インターネットに公開されたPeopleSoftインスタンスを悪用してランサムウェアを展開したり、持続的なアクセスを確立したりしているとみられます。
この脆弱性が短期間で武器化されたことは、認証不要で高価値システムへの直接アクセスをもたらすエンタープライズアプリケーションの欠陥を攻撃者が優先的に狙うという昨今の傾向を改めて示しています。
拘束的運用指令(BOD)26-04に基づき、連邦政府機関はこの脆弱性の深刻性と積極的な悪用状況を踏まえ、2026年6月15日までに修復措置を完了することが義務付けられています。
CISAは各組織に対し、ベンダーが提供する緩和策を直ちに適用するとともに、更新されたリスクベースのパッチ適用フレームワークへの準拠を確実にするよう指示しています。
さらに、パッチ適用前にシステムが露出していた場合は特に、CISAのフォレンジックトリアージ要件に従って侵害の可能性を評価するよう各組織に求めています。
セキュリティチームは、すべてのPeopleSoft環境についてインターネットへの露出状況を評価し、優先度に従ってパッチ適用や修復対応を進めることが求められています。緩和策が利用できない場合や即時適用が困難な場合には、影響を受けるシステムのセキュリティを確保できるまで、その使用を停止することをCISAは推奨しています。
また、悪用の試みを検知するために、異常な認証パターン、予期しない管理操作、不審なネットワークトラフィックを継続的に監視することも不可欠です。
CVE-2026-35273が現在進行中のランサムウェアキャンペーンで悪用されていることは、エンタープライズ・リソース・プランニング(ERP)プラットフォームが高価値資産として継続的に標的にされている実態を浮き彫りにしています。
脅威アクターが認証回避の脆弱性を利用して即座にアクセスを獲得するケースが増加する中、各組織は進化する脅威に対応するため、積極的な脆弱性管理戦略の採用、厳格なアクセス制御の実施、そして継続的な監視体制の維持が求められています。
翻訳元: https://gbhackers.com/cisa-issues-alert-on-oracle-peoplesoft-vulnerability/
