Oracle PeopleSoft ゼロデイ脆弱性で数百組織が被害
原題: PeopleSoft 0-day affecting hundreds of organizations steals gigabytes of data
なぜ重要か
企業システムの中核を担う PeopleSoft の重大脆弱性により、組織のデータセキュリティ対策の見直しが急務となっている。
Oracle の PeopleSoft ソフトウェアにおけるゼロデイ脆弱性 CVE-2026-35273 が ShinyHunters ランサムウェアグループに約2週間にわたり悪用され、約100組織の300エンドポイントが標的となった。脆弱性の深刻度は9.8と極めて高く、ギガバイト規模のデータが盗取された。
Google の Mandiant セキュリティチームによると、ランサムウェアグループ ShinyHunters が Oracle PeopleSoft ソフトウェアスイートの重要な脆弱性を悪用し、約100の顧客組織を標的として攻撃を実行した。この脆弱性 CVE-2026-35273 は、10点満点中9.8の深刻度評価を受けており、今年最も重要な脆弱性の一つとなっている。攻撃者は5月27日から脆弱性の悪用を開始し、Oracle が問題を把握するまで2週間以上にわたって継続した。標的となった組織の約68%は高等教育機関であった。この脆弱性は SSRF(サーバーサイドリクエストフォージェリ)で、攻撃者が脆弱なサーバーから標的組織のシステムにリクエストを送信することを可能にする。Oracle は暫定的な軽減策を提供したが、完全なパッチはまだ公開されていない。ノッティンガム大学は水曜日、大量の学生データが脅威アクターの手に渡るハッキング被害を受けたことを確認した。攻撃者は偵察活動を実行し、PeopleSoft の設定をマッピングし、最終的に ShinyHunters のデータリークサイトへの SSH 接続を確立した。単一の被害者から48GB のデータが回復されたと報告されている。