日産アメリカズは、Oracleのエンタープライズソフトウェア「PeopleSoft」に存在するゼロデイ脆弱性を悪用した標的型サイバー攻撃により、4カ国の現職・元従業員の個人情報が侵害されたことを公式に認めました。
日産アメリカズの副社長兼最高人事責任者レオン・マルティネス氏が署名した社内通知の中で、同社は脅威アクターがOracle PeopleSoftで管理されていた従業員記録に不正アクセスしたことを明らかにしました。
同社はこの攻撃が「特定の標的を狙い打ちにしたもの」であり、後に複数の組織を巻き込む大規模なキャンペーンの一環と特定されたと確認しています。
攻撃の核心にあるのはCVE-2026-35273です。これはOracle PeopleSoft Enterprise PeopleToolsのUpdates Environment Managementコンポーネントに存在する、認証不要のリモートコード実行(RCE)の重大な脆弱性で、CVSSスコアは最高値の9.8に達しています。
Oracleはこのゼロデイ脆弱性を2026年6月10日に公表し、同日に緊急の帯域外パッチをリリースしました。
この脆弱性は認証なしにPeopleSoft環境を完全に乗っ取ることを可能にするもので、少なくとも2026年5月27日から悪用が続いていたとされており、ゼロデイ悪用のウィンドウ期間は約2週間に及びました。
この一連の攻撃は、大規模なデータ窃取と恐喝を専門とする著名なサイバー犯罪グループ「ShinyHunters」によるものと断定されています。
6月10日までに、同グループは世界100以上の組織にまたがる300を超えるPeopleSoftインスタンスを侵害していたことが、MandiantおよびGoogleの脅威インテリジェンスグループ(GTIG)の分析により明らかになっています。
日産が社内で特定した侵害期間(5月27日〜6月9日)は、ShinyHuntersによる既知の悪用ウィンドウと完全に一致しています。
2026年6月25日にカリフォルニア州司法長官に提出された公式の従業員通知によると、以下のカテゴリの機密データがアクセスされた可能性があるとされています。
この侵害は、米国・カナダ・メキシコ・ブラジルの現職・元日産従業員に影響を及ぼしていると見られています。
Oracleからの通知を受け、日産はインシデント対応プロトコルを発動し、外部のサイバーセキュリティ専門家を招いて侵害の封じ込めと修復に当たっています。調査を通じて、法執行機関にも随時情報が共有されています。
不正防止策として日産は現在、給与明細の確認や口座振込の変更を含む給与システムへのアクセスを、構内のネットワークコンピューターまたはセキュアなVPN接続経由に限定するよう従業員に義務付けています。
日産はまた、影響を受けた個人に対して利用可能な地域ではクレジットモニタリングまたはダークウェブモニタリングサービスを無償提供する計画を発表しており、給与変更の処理前に追加の本人認証レイヤーを実装しています。
セキュリティ研究者は、CVE-2026-35273を即座にパッチ適用できない組織向けに、具体的な緩和策を特定しています。
従業員および組織に対しては、続発するフィッシング攻撃への警戒を怠らず、重要なアカウントのパスワードをリセットし、金融およびメールプラットフォーム全体で多要素認証(MFA)を有効にするよう強く求められています。
日産の被害は、企業・教育・政府セクターを問わず被害者を生み出し続けているShinyHuntersのPeopleSoftキャンペーンの影響範囲が拡大していることを、改めて浮き彫りにしています。
日産はこれまでのところ、被害を受けた個人の総数や、侵害されたPeopleSoft環境がOracleの管理下にあったものか自社ホスティングであったかについては明らかにしていません。
翻訳元: https://cyberpress.org/nissan-employee-records-oracle-peoplesoft/