重大ゼロデイ脆弱性がOracle PeopleSoftを襲う:被害拡大の実態と対策
著者 Mag-Info Tech editorial · 2026-06-13
Oracleが所有するエンタープライズ向け統合システム「PeopleSoft」に、深刻度9.8点という極めて重大な脆弱性が発見された。このSSRF(Server-Side Request Forgery)型の脆弱性を悪用した攻撃が、少なくとも100以上の組織に対して実行され、大量のデータが窃取される事態となっている。攻撃を主導しているのは、ShinyHuntersと呼ばれるランサムウェアグループだ。彼らは5月27日からこの脆弱性を悪用し始め、すでに300以上のエンドポイントを攻撃対象に加えている。被害の68%が高等教育機関であり、英国のノッティンガム大学もデータ流出の被害を公式に認めた。Oracleは未だ完全なパッチを提供しておらず、現時点では暫定的な緩和策のみが示されている状況だ。この脆弱性がもたらすリスクと、企業・組織が取るべき対応策について詳しく解説する。
PeopleSoftのSSRF脆弱性とは何か、なぜこれほど深刻なのか
PeopleSoftは、Oracleが提供する人事、財務、学生管理などの業務システムを統合したエンタープライズソフトウェアだ。世界中の大学、企業、政府機関で幅広く利用されており、特に機密性の高い個人情報や財務データを扱うシステムとして重要な位置を占めている。このソフトウェアに発見されたCVE-2026-35273と呼ばれる脆弱性は、SSRF(Server-Side Request Forgery)と呼ばれるタイプのものだ。SSRFは、攻撃者が標的のサーバーを悪用して、内部ネットワークや外部のシステムに対して不正なリクエストを送信できるようにする脆弱性である。
SSRFの深刻さは、その攻撃経路の広さにある。通常のWebアプリケーションの脆弱性では、攻撃者は直接外部からシステムに侵入する必要があるが、SSRFでは既に信頼されている内部サーバーを経由して攻撃が行われる。このため、ファイアウォールやネットワークセグメントによる防御が効きにくく、攻撃者は内部システムにアクセスしやすくなる。特にPeopleSoftのような基幹業務システムでは、内部ネットワークに接続された他のシステムとの連携が多いため、この脆弱性を悪用されると、攻撃者は企業の内部ネットワーク全体に侵入する足掛かりを得る可能性がある。その結果、機密データの窃取やシステムの改ざん、さらにはランサムウェア攻撃への展開など、被害が拡大するリスクが非常に高い。
この脆弱性がCVSSスコアで9.8点という極めて高い評価を受けている理由もここにある。CVSSスコアは、脆弱性の深刻度を0から10のスコアで示す指標だが、9.8点は「クリティカル」のカテゴリーに分類される。攻撃がリモートから可能であり、認証を必要としないため、攻撃の実行が容易であることも、スコアが高い要因だ。加えて、PeopleSoftは多くの組織で基幹システムとして稼働しており、その影響範囲が広いことも、この脆弱性が極めて危険である理由の一つだ。
ShinyHuntersによる攻撃の実態:100組織以上が被害に
ShinyHuntersは、ランサムウェア攻撃やデータ窃取で知られるサイバー犯罪グループだ。彼らは今回のPeopleSoftのSSRF脆弱性を悪用し、5月27日から本格的な攻撃を開始した。GoogleのMandiantセキュリティチームによると、ShinyHuntersはこの脆弱性を悪用して、少なくとも100以上の組織に対して攻撃を仕掛けている。攻撃対象となったエンドポイントは300以上に上り、そのうち68%が高等教育機関だったというデータが示すように、教育機関が特に集中的に狙われている。
攻撃の手法は、SSRFを悪用してPeopleSoftシステム内のデータにアクセスし、それを窃取するというものだ。ShinyHuntersは攻撃対象の組織に対して、データを公開しない代わりに身代金を要求するという、典型的なランサムウェアの手口を取っている。既に英国のノッティンガム大学が、この攻撃によるデータ流出を公式に認めた。大学側は「学生データの大量流出があった」と発表し、攻撃グループが公開したと主張するデータが実際に流出したものであることを確認している。この事例は、PeopleSoftを利用する教育機関が特に狙われやすい状況にあることを示唆している。
攻撃がこれほどまでに拡大した背景には、脆弱性の発見からパッチの適用までに時間がかかっていることが挙げられる。Oracleはこの脆弱性を把握したものの、完全なパッチの提供には至っておらず、現時点では暫定的な緩和策のみが示されている状況だ。このため、多くの組織が未だに脆弱な状態のまま放置されており、攻撃者にとっては絶好の機会となっている。特に、PeopleSoftのような基幹システムはアップデートに時間がかかることが多く、システムの停止や業務への影響を懸念して、パッチ適用が遅れるケースが多い。しかし、今回のような深刻な脆弱性が発見された場合には、リスクと業務への影響を天秤にかけ、迅速な対応が求められる。
なぜ高等教育機関が特に狙われるのか:システムの特性とセキュリティ体制の課題
今回の攻撃で、被害の68%が高等教育機関であったという事実は、サイバー犯罪者にとって教育機関が魅力的なターゲットであることを示している。高等教育機関は、PeopleSoftを利用して学生の個人情報、成績、財務データなどの機密情報を管理している。これらのデータは、個人情報保護の観点からも非常に重要であり、攻撃者にとっては高い価値を持つ標的となる。加えて、教育機関は予算やリソースの制約から、セキュリティ対策が脆弱なケースが多い。IT部門の規模が小さく、専門的なセキュリティ人材が不足していることも、攻撃の成功率を高める要因となっている。
また、高等教育機関では、学生や教職員が多くのデバイスを持ち込むことが一般的であり、ネットワークのセキュリティ管理が複雑化しやすい。BYOD(Bring Your Own Device)の普及により、機密データが外部デバイスに保存されるリスクも高まる。このため、内部ネットワークへの侵入が容易になり、SSRFのような脆弱性を悪用した攻撃が成功しやすくなる。さらに、教育機関では研究データや知的財産も多く保管されており、これらが攻撃者にとっての「ドル箱」となることも少なくない。
教育機関が今回のような攻撃に対して脆弱である理由の一つに、システムの老朽化も挙げられる。PeopleSoftのような基幹システムは、導入から数年が経過していることが多く、最新のセキュリティ対策が施されていないケースが多い。また、システムのアップデートには多大なコストと時間がかかるため、セキュリティパッチの適用が後回しにされることも珍しくない。こうした状況下で、SSRFのような深刻な脆弱性が発見された場合、迅速な対応が求められるが、教育機関ではそれが難しいのが実情だ。このため、攻撃者にとっては格好の標的となっている。
Oracleの対応状況:パッチ未完了の現状と暫定緩和策の限界
Oracleは、PeopleSoftのSSRF脆弱性(CVE-2026-35273)を把握したものの、完全なパッチの提供には至っていない。現時点では、暫定的な緩和策のみが示されている状況だ。このような状況は、サイバー犯罪者にとっては攻撃の絶好の機会となる。なぜなら、脆弱性が公表された後でも、パッチが適用されない限り、システムは攻撃に対して無防備なままだからだ。特に、今回のような深刻な脆弱性の場合、攻撃者はその情報を入手した時点で攻撃を開始するため、パッチの提供が遅れるほど被害が拡大するリスクが高まる。
Oracleが示している暫定緩和策は、主にファイアウォールやネットワークセグメントの設定変更、アクセス制御の強化などにとどまっている。これらの対策は、SSRF攻撃のリスクを低減するための基本的なものだが、完全な解決策とは言えない。なぜなら、SSRFの脆弱性を根本的に解決するには、ソフトウェアのコードレベルでの修正が必要だからだ。暫定的な緩和策では、攻撃の成功率を下げることはできても、完全に防ぐことはできない。このため、組織は早急に完全なパッチの適用を待ち望んでいるが、Oracleの対応が遅れるほど被害が拡大する可能性がある。
MEFAIのAIが生み出す本当の結果。Proプランを50ドル割引でお得に。
スポンサード · 過去の実績は将来の成果を保証するものではありません。金融アドバイスではありません。
Oracleにとっても、完全なパッチの提供は容易ではない。PeopleSoftのような大規模なエンタープライズシステムの場合、パッチのテストと展開には数週間から数ヶ月の時間がかかることが多い。また、システムの停止や業務への影響を最小限に抑えるため、慎重な対応が求められる。しかし、今回のような深刻な脆弱性が発見された場合には、リスクと業務への影響を天秤にかけ、迅速な対応が求められる。特に、教育機関や企業にとっては、機密データの保護が最優先課題であり、パッチの適用が遅れることで被害が拡大するリスクを最小限に抑える必要がある。
被害を受けた組織の対応:データ流出の確認とランサムウェア被害の拡大
ShinyHuntersによる攻撃を受けた組織の多くは、データ流出やランサムウェア被害に直面している。英国のノッティンガム大学は、攻撃グループが主張するデータ流出を公式に認め、学生データの大量流出があったことを明らかにした。大学側は、攻撃グループが公開したデータが実際に流出したものであることを確認しており、被害の深刻さを物語っている。この事例は、PeopleSoftを利用する教育機関が特に狙われやすい状況にあることを示しているだけでなく、攻撃が現実のものとなったことを示す象徴的な事例でもある。
攻撃を受けた組織は、データ流出の有無を確認するために、システムログやネットワークトラフィックの監視、侵入検知システムの導入など、様々な対策を講じている。しかし、SSRFのような脆弱性を悪用された場合、攻撃者は内部ネットワークに侵入し、長期間にわたってデータを窃取することが可能だ。このため、被害の全容を把握するまでに時間がかかるケースが多い。また、ランサムウェア攻撃の場合、攻撃者はデータを暗号化し、身代金を要求するという手口を取るため、被害の拡大がさらに加速する。
組織が被害を受けた際の対応として、まずはシステムの隔離と調査が行われる。侵入経路の特定やデータ流出の範囲を明らかにするため、フォレンジック調査が実施される。この過程で、攻撃者がどのような手法で侵入したのか、どのデータが窃取されたのか、といった詳細が明らかになる。しかし、フォレンジック調査には専門的な知識と時間が必要であり、被害を受けた組織にとっては負担が大きい。このため、多くの組織が外部のセキュリティ専門家に調査を依頼している。
企業や組織が取るべき具体的な対策:迅速なパッチ適用と監視強化
今回のPeopleSoftのSSRF脆弱性を受けて、企業や組織が取るべき対策は、迅速なパッチ適用と監視強化が中心となる。まず、Oracleから完全なパッチが提供された場合には、直ちに適用することが最優先課題だ。パッチの適用が遅れるほど、攻撃のリスクが高まるため、業務への影響を最小限に抑えつつ、迅速な対応が求められる。特に、PeopleSoftのような基幹システムの場合、アップデートには慎重な計画とテストが必要だが、セキュリティリスクを考慮すれば、早期の適用が不可欠だ。
次に、監視体制の強化が重要だ。SSRFのような脆弱性を悪用した攻撃は、内部ネットワークへの侵入を目的としているため、通常の外部からの攻撃よりも検知が難しい。このため、ネットワークトラフィックの監視や侵入検知システム(IDS/IPS)の導入、ログのリアルタイム分析など、包括的な監視体制の構築が求められる。また、内部ネットワークへの不正アクセスを検知するために、ユーザー行動分析(UEBA)やエンドポイント検知・対応(EDR)ソリューションの導入も効果的だ。これらのツールを活用することで、攻撃の早期発見と対応が可能となる。
加えて、従業員へのセキュリティ教育も欠かせない。SSRFのような脆弱性を悪用した攻撃では、内部の不正なリクエストが攻撃の足掛かりとなるため、従業員がセキュリティ意識を高めることで、攻撃のリスクを低減できる。例えば、不審なメールやリンクを開かない、パスワードの定期的な変更、多要素認証(MFA)の導入など、基本的なセキュリティ対策を徹底することが重要だ。特に、PeopleSoftのようなシステムでは、管理者権限を持つユーザーが多いため、これらのユーザーに対する教育が特に重要となる。
今後の展望:脆弱性の拡散と攻撃手法の進化にどう備えるか
今回のPeopleSoftのSSRF脆弱性を受けて、今後さらなる攻撃の拡散が懸念される。ShinyHuntersをはじめとするサイバー犯罪グループは、この脆弱性を悪用した攻撃手法をさらに洗練させ、他の組織への攻撃を拡大させる可能性が高い。特に、脆弱性の詳細が公開された後では、他の攻撃グループによる模倣攻撃も増加することが予想される。このため、組織は常に最新の脅威情報を入手し、迅速な対応を心がける必要がある。
また、SSRFのような脆弱性は、今後もエンタープライズソフトウェアで発見される可能性が高い。特に、クラウドサービスやWebアプリケーションの普及に伴い、SSRFのような攻撃手法がますます一般化することが予想される。このため、組織はセキュリティ対策を包括的に見直し、包括的なリスク管理体制を構築することが求められる。例えば、ゼロトラストセキュリティモデルの導入や、サプライチェーンリスクの管理、定期的な脆弱性診断の実施などが効果的だ。
さらに、サイバー犯罪グループの攻撃手法も進化し続けている。ランサムウェア攻撃に加えて、データ窃取と脅迫を組み合わせた「二重恐喝」や、攻撃対象のシステムを完全に破壊する「ワイピング攻撃」など、より悪質な手法が増加している。このため、組織は単にパッチを適用するだけでなく、包括的なインシデント対応計画(IRP)を策定し、実際の攻撃に備えることが重要だ。これにより、攻撃が発生した際の被害を最小限に抑えることが可能となる。
結論:ゼロデイ脆弱性の脅威と継続的なセキュリティ対策の重要性
Oracle PeopleSoftのSSRF脆弱性は、サイバーセキュリティの世界に再び深刻な警鐘を鳴らす出来事となった。深刻度9.8点という極めて高い評価を受けたこの脆弱性は、ShinyHuntersをはじめとする攻撃グループによって悪用され、100以上の組織が被害を受けた。特に高等教育機関が集中的に狙われたことからも、教育機関のセキュリティ体制の脆弱さが浮き彫りとなった。Oracleによる完全なパッチの提供が遅れている現状では、被害のさらなる拡大が懸念される。
企業や組織が取るべき対策は、迅速なパッチ適用と監視体制の強化、従業員へのセキュリティ教育が中心となる。しかし、それだけでは不十分であり、包括的なリスク管理体制の構築が求められる。ゼロデイ脆弱性の脅威は今後も続いていくため、組織は常に最新の脅威情報を入手し、迅速かつ的確な対応を心がける必要がある。サイバーセキュリティは、もはや一時的な対策で済む問題ではなく、継続的な取り組みが不可欠な分野であることを再認識させられる事例となった。
もっと見る サイバーセキュリティ&プライバシー
メイン州、偽装データ侵害通知の横行でポータルを一時停止
メイン州がデータ侵害通知ポータルを停止し、偽装通報の横行で手続き見直しへ。企業の評判損害と情報モニタリングへの影響を解説。
Arch Linux AURを狙った大規模パッケージ乗っ取り攻撃、400超のビルドスクリプト改ざん発覚
Arch LinuxのAURで400を超えるコミュニティパッケージのビルドスクリプトが改ざんされ、ビルド時に情報窃取マルウェアが仕込まれる攻撃が発覚した。公式リポジトリは影響なし。
九州電力が顧客1090万人の個人情報流出リスクを発表、物理的セキュリティの穴を露呈
九州電力は外部記録媒体の紛失で1090万人の顧客情報が流出の可能性を発表。物理的セキュリティの不備が露呈し、再発防止策の徹底が求められる。