全米保険監督官協会(NAIC)は、恐喝グループShinyHuntersがOracle PeopleSoftサーバのゼロデイ脆弱性を悪用してシステムに侵入し、盗み出したのは一般に公開済みのデータ、古いログ、設定ファイルのみだったと発表しました。
NAICは全米50州で活動する米国の保険規制機関です。同組織は6月11日、PeopleSoftシステムへの不正アクセスを検知し、「不正な第三者がITシステムの一部にアクセスした」ことを確認しました。
ShinyHuntersは攻撃への関与を主張しており、身代金の支払いを拒否されたとして盗んだデータを公開しました。
NAICは脅威アクターによる情報公開に対して反論を行いました。同組織の発表によると、ハッカーがアクセスし、一部を窃取したのは、すでに公開されている法定財務報告書、信用格付け機関のデータ、古いログ、設定情報のみだったとしています。
NAICによると、調査の結果、個人識別情報(PII)や財務データが漏洩した証拠は確認されませんでした。また、SERFF(電子レート・フォーム申請システム)、OPTins(保険オンライン保険料税システム)、SBS(州ベースシステム)といった重要な保険規制プラットフォームが侵害されたという脅威アクターの主張も、同組織は明確に否定しています。
今回のインシデントは業務面にも影響を及ぼし、信用格付け機関がデータフィードを一時停止、NAICも投資格付け業務を中断しました。ただし、ハッカーの主張と同組織の調査結果の間には大きな食い違いがあります。
6月25日に更新された声明の中でShinyHuntersは、NAICのシステムから105,000ファイル、合計3.1TBのデータを保有していると主張しています。
- INSDataおよびVisionサーバ
- 2017年から2024年にかけての保険会社規制申請PDF 264,000件
- 顧客・注文・支払い記録 2,000件
- 格付け機関ファイル 45,000件
- AWSインフラ設定
- SERFF、OPTins、UCAA本番環境の保存済み認証情報
ハッカーはこの更新の中で、以前のデータ概要はファイルを評価する際にAIのハルシネーションを利用したため誇張されていたとも認めています。
ただし脅威アクターによれば、最新公開の目録は人間のレビュアーによって検証済みであり、正確な内容とみなすべきだとしています。
NAICは、影響を受けたすべてのシステムの修復が完了し、今後の攻撃を防ぐための追加防御策を現在実施中だと述べています。
PeopleSoftエンタープライズシステムのゼロデイ脆弱性(CVE-2026-35273)を悪用したShinyHuntersによる一連の攻撃は、100を超える組織に影響を与えたとされています。
BleepingComputerは、Oracleが公式に脆弱性を公表する前から、この脅威アクターによるゼロデイ攻撃について報じていました。クラウドおよびオンプレミスの両方のOracle PeopleSoft利用組織が標的となり、侵害後にはShinyHuntersの署名入りの恐喝要求が残されていました。
ハッカーたちは、標的となった組織の多くが教育セクターに属しており、以前にも同脅威アクターによる恐喝を受けていたと述べています。
攻撃者よりも先に全レイヤーをテスト
セキュリティチームが成功した攻撃をログに記録しているのはわずか54%、アラートを発するのはたった14%にすぎません。残りの攻撃は環境内を検知されることなく通過しています。
PicusのホワイトペーパーでBAS(侵害・攻撃シミュレーション)を活用してSIEMおよびEDRルールをテストし、脅威の検出漏れを防ぐ方法をご紹介します。
