全米保険監督官協会(NAIC)は、Oracle PeopleSoftのゼロデイ脆弱性を悪用した一連のハッキングキャンペーンに標的にされたことを認めました。
PeopleSoftのゼロデイ攻撃が明らかになったのは6月11日のことです。この日、OracleはCVE-2026-35273として追跡されている脆弱性に関する緊急アドバイザリを公開しました。この脆弱性は、認証なしでリモートコード実行を可能にするものです。
同社の公開アドバイザリには実際の悪用に関する言及はありませんでしたが、Googleをはじめとする複数の組織が攻撃の発生を確認しています。
サイバー犯罪グループ「ShinyHunters」がこのキャンペーンの背後にいると見られており、同グループは多数の組織を標的にデータを窃取したと主張しています。
米国の州保険規制機関であるNAICは、このキャンペーンの標的になったことを公表しました。
NAICは各州の保険監督官によって運営されており、政策の調整、モデル法の策定、そして全50州にわたる監督業務の支援を担っています。
NAICは6月26日に公式サイトに掲載したセキュリティインシデント通知の中で、6月11日にOracle PeopleSoftの脆弱性を通じたシステムへの不正アクセスを把握したと述べています。
調査の結果、ハッカーは公開されている法定財務報告情報、信用格付け機関のデータ、および古いログや設定データといった技術情報へのアクセスを得ていたことが判明しました。
NAICによると、個人を特定できる情報(PII)や、支払い情報・金融口座情報は漏洩していないとのことです。
同団体は、ハッカーが当初主張していた内容とは異なり、各州保険局のシステムや各種規制報告システムへの影響はなかったと説明しています。
ShinyHuntersは6月18日にNAICを自身のリークサイトに追加し、210万件の保険会社規制申請書類を含む合計3.1TB超・105,000ファイル以上を窃取したと主張しました。
その後、同グループは声明を更新し、当初の発表は「基礎データのAIによる誤解釈」に基づいたものであり、漏洩データの種類に関する一部の主張は正確ではなかったと述べました。更新された声明では、窃取された保険会社規制申請書類は26万件のみとされており、NAICが影響を否定したサービスへの言及も削除されています。
この犯罪グループはOracle PeopleSoftを悪用したキャンペーンで100以上の組織を標的にしたと主張していますが、データ漏洩を公式に認めた被害者はNAICが初めてとみられています。
ノッティンガム大学も同じ攻撃作戦の被害者とされていますが、同大学はインシデントの公開開示においてPeopleSoftには言及していません。
翻訳元: https://www.securityweek.com/insurance-regulators-group-naic-hit-in-oracle-peoplesoft-hack/
