Oracleのセキュリティアドバイザリが公開される2週間前から、攻撃者はすでに学校のネットワークを荒らし回っていた。米国のサイバー犯罪グループUNC6240(ShinyHunters)は、Oracle PeopleSoft PeopleTools に存在するリモートコード実行(RCE)の脆弱性を2026年5月27日から6月9日にかけて悪用し、教育機関を中心に100組織超からデータを窃取した[1][2]。被害組織の68%が大学という偏りは、大学が抱えるIT予算の制約とパッチ適用の遅さを突いた結果だ。
CVE-2026-35273はCVSS(共通脆弱性評価システム)スコア9.8の最高クラスに近い深刻度で、HTTP経由かつ認証不要でリモートコードを実行できる。これは「インターネットにPeopleSoftの管理ポートを開けていれば、誰でも管理者権限を取れる」状態を意味する。CISAは2026年6月12日にKEV(既知悪用脆弱性カタログ)へ追加し、修復期限を2026年7月3日と定めた[2]。
攻撃の技術構造:ゼロデイから情報窃取まで
UNC6240による今回の攻撃チェーンは3段階で構成される[1][3]。
ステージ1 — 初期侵入:CVE-2026-35273を使ってPeopleSoftのApplication Serverに認証なしでRCEを実行。Oracleのアドバイザリ公開前の2週間、この手口がパッチ未適用の全インスタンスに対して有効だった。
ステージ2 — 横移動と情報収集:侵入後はPeopleSoftが管理するOracleデータベースへの接続情報を取得し、HR(人事)・財務・学籍情報を含むテーブルを選択的に抽出。PeopleSoft特有のテーブル構造への深い知識が見られ、事前の偵察と内部者情報の組み合わせが疑われている。
ステージ3 — データ流出:窃取したデータは暗号化チャンネル経由で外部に持ち出され、一部はダークウェブのフォーラムに掲載された。ShinyHuntersはSTARKidz(2024年のSnowflake攻撃)と同一グループとされており、大量データの流通・販売に習熟している。
日本企業が知るべきリスク文脈
PeopleSoftの採用規模と潜在的被害範囲
Oracle PeopleSoftは日本でも大手製造業・金融機関・大学法人で採用が多く、HR・財務・調達モジュールが長期稼働している事例がある。オンプレミスでの稼働が多く、インターネット露出とパッチ管理の両面でリスクが高い構成が残りやすい。
Oracleのパッチ供給体制
Oracleは四半期ごとのCritical Patch Update(CPU)という形でパッチを提供する。今回のCVE-2026-35273はCPUの緊急帯外リリースとして公開されたが、Oracleサポート契約とMy Oracle Supportへのアクセスが必要なため、パッチ配布の認知に時間がかかるケースがある。
PeopleSoft長期稼働の技術的負債
PeopleSoftはカスタマイズが深く、パッチ適用時に独自のコード修正との競合が発生する。「コンサルタントを呼ばないとパッチを当てられない」という状況が継続稼働の中でパッチ適用を先送りにしがちなERP特有のリスクだ。
即時対応手順
Step 1 — インベントリ確認:PeopleSoft Application Server・Process Scheduler・Web Serverのすべてのインスタンスをリストアップする。クラウドリフト後も旧バージョンが残存するケースが多い。
Step 2 — 露出面の評価:PeopleSoftのポート(HTTPポート、AdminServer、PIA)が外部ネットワークから直接到達可能かどうかを確認する。インターネット直接露出はすべて遮断する。
Step 3 — パッチ適用:My Oracle SupportでCVE-2026-35273のパッチを確認し、適用テスト・本番への展開を実施する。カスタマイズとの競合テストを省略するとシステム停止を招くため、UAT環境での検証を先行させる。
Step 4 — 侵害確認:2026年5月27日〜6月12日の間のWebServerアクセスログ・Application Serverのオペレーションログを確認する。パターンマッチングより見慣れない管理操作や大量データ読み取りの痕跡を優先して調査する。
| 確認項目 | 方法 |
|---|---|
| PIA・Admin ServerのインターネットIPからのアクセス | ファイアウォールログ確認 |
| 異常なDB接続(時間帯・接続元IPの逸脱) | DB監査ログ |
| 大量行SELECT(HRや財務テーブル) | Oracle DBの統合監査 |
まとめ
ゼロデイ悪用という事実は、パッチ管理だけで防げなかったことを意味する。インターネットへの露出を最小化し、PeopleSoftのアクセスをVPNや踏み台サーバ経由に限定する構成変更が最も即効性のある防御だ。Oracle PeopleSoftを本番稼働させているチームは今週中に露出面の評価とパッチ計画の策定を開始する。
よくある質問(FAQ)
Q1. SaaS版PeopleSoft(Oracle HCM Cloud)も影響を受けますか?
CVE-2026-35273はオンプレミスおよびお客様管理のPeopleSoft環境が対象です。Oracleが管理するOracle HCM Cloudのようなフルマネージドサービスは、Oracleがパッチを適用するため一般的に顧客側の対応は不要です。ただしOracle公式の確認を取ることを推奨します。
Q2. パッチを当てる前にできる緩和策はありますか?
インターネットからPeopleSoftポートへの直接アクセスを遮断することが最も効果的な緩和策です。VPNまたはSSHトンネル経由のアクセスに限定し、WAF(Webアプリケーションファイアウォール)で不審なリクエストパターンを検知するルールを追加します。
Q3. 侵害を受けたかどうかはどう判断しますか?
5月27日〜6月12日の間に、通常のビジネス時間外・既知IPの外から管理ポートへのアクセスログがある場合はインシデント対応手順を起動します。確証がなくてもフォレンジックコンサルタントへの相談を検討します。