米サイバーセキュリティ・インフラセキュリティ局(CISA)は、Oracle PeopleSoftの重大な脆弱性がランサムウェアキャンペーンで積極的に悪用されていることを確認し、既知の悪用された脆弱性(KEV)カタログに追加しました。
CVE-2026-35273として追跡されているこの脆弱性は、Oracle PeopleSoft Enterprise PeopleToolsに影響を与えており、広く普及している企業向けERPプラットフォームを利用する組織に深刻なリスクをもたらします。
CVE-2026-35273は、重要な機能における認証の欠如(CWE-306)に分類される脆弱性であり、エンタープライズソフトウェアにおける最も危険な脆弱性カテゴリの一つです。
この脆弱性を悪用すると、認証されていないリモート攻撃者が認証制御を完全に回避し、影響を受けるPeopleSoft Enterprise PeopleToolsのインスタンスを完全に掌握することが可能になります。認証情報も事前アクセスも不要で、攻撃者はターゲットシステムへのネットワーク経路さえあれば制御を奪取できます。
この脆弱性の悪用には高度な技術は必要なく、高い効果を低い労力で実現できる攻撃手法を好むランサムウェアオペレーターにとって、特に魅力的なターゲットとなっています。
Oracle PeopleSoftは世界中の数千もの大学、政府機関、医療機関、大企業に導入されており、潜在的な攻撃対象領域は非常に広大です。
CISAは2026年6月12日にCVE-2026-35273をKEVカタログに追加し、この脆弱性がランサムウェアキャンペーンで積極的に武器化されていることを正式に確認しました。
CISAは拘束的運用指令(BOD)26-04「リスクに基づくセキュリティアップデートの優先順位付け」に基づく指令を発令し、連邦民間行政機関(FCEB)に対してベンダー提供の緩和策を直ちに適用するよう求めています。
インターネットに公開されたPeopleSoftを運用する組織は、特に高いリスクにさらされています。
CISAは明示的に指摘しており、各資産のインターネット公開状況を評価し、修復期限前にBOD 26-04のパッチ適用ガイドラインを遵守する責任はステークホルダー側にあるとしています。
Oracleはこの脆弱性に対処するためのガイダンスを公開しており、影響を受ける組織は直ちに行動する必要があります。
セキュリティチームはベンダーの指示に従ってOracleの公式パッチを適用するとともに、インターネットに公開されているすべてのPeopleSoft環境を監査し、パッチ適用が完了するまで外部アクセスを制限する必要があります。
連邦機関はBOD 26-04の必須修復タイムラインに従う義務がある一方、すべての組織はCISAのフォレンジックトリアージ要件を確認し、過去に侵害された痕跡がないかを調査する必要があります。
今回の情報開示は、ランサムウェアグループがエンタープライズミドルウェアやERPプラットフォームを標的にするという憂慮すべき傾向をあらためて浮き彫りにしています。PeopleSoftのようなシステムは、境界防御と比べてパッチ適用の優先度が低くなりがちですが、近年では主要な攻撃対象として狙われるケースが増えています。
未認証の脆弱性によってシステムを完全に掌握することで、攻撃者はランサムウェアを展開する前に、人事・財務・学生データといった機密情報を窃取するための足がかりを得ることができます。
セキュリティチームはCVE-2026-35273を最優先事項として対処する必要があります。CISAがランサムウェアとの関連を正式に確認している以上、修復を遅らせることは、深刻な被害をもたらすセキュリティ侵害の発生リスクを大幅に高めることになります。
翻訳元: https://cyberpress.org/oracle-peoplesoft-zero-day-exploited/
