オラクル製品に緊急警告、大学中心に100超の組織が侵入被害

　警告の対象となったのは、PeopleSoft Enterprise PeopleToolsの環境管理コンポーネントに存在するリモートコード実行の脆弱性CVE-2026-35273である。システム機能の認証チェック欠落に起因し、共通脆弱性評価システムCVSSのスコアで9.8の緊急事態と評価された。影響を受けるのはバージョン8.61および8.62などで、攻撃者は特別な資格情報なしにネットワーク経由でアクセスするだけでシステムを完全に制御できる。


　米マンディアントなどの調査によると、サイバー犯罪組織シャイニー・ハンターズが2026年5月27日から6月9日にかけて、未パッチ状態の脆弱性を突くゼロデイ攻撃を展開した。この組織は正規サービスを模した偽ドメインや管理ツールを用いて遠隔操作用の環境を構築し、システム内部を探索して広範囲に横展開するスクリプトを実行した。不正侵入したサーバの公開ディレクトリに脅迫文を書き込み、収集したデータベースやログファイルを流出させている。

　被害に遭った組織の68％を高等教育機関が占め、多くが米国に集中している。学術システムはパッチ適用の遅れが発生しやすく、大量の個人情報が集中しているため標的となった。英ノッティンガム大学では、学生や卒業生など約45万5000件のメールアドレスや氏名、パスポート番号などが窃取され、Webサイトで公開される被害が発生した。米連邦捜査局の内部ポータルを狙った攻撃も試みられたが、侵入は成功しなかったという。

　オラクル製品の大規模なゼロデイ攻撃は今回が初めてではない。2025年後半にも別のランサムウェア組織がE-Business Suiteの脆弱性を悪用し、100社を超える企業からデータを奪取する事件が発生している。今回の事案は境界型防御のみに頼る対策の限界を示しており、管理コンポーネントのインターネット公開禁止や外部アクセスの完全遮断、アクセスログの監査、不審なファイルの検知といった恒久的な防御策の徹底が求められている。