シャイニーハンターズがOracle PeopleSoftゼロデイ脆弱性CVE-2026-35273を悪用し大学を標的にデータ窃取と脅迫を実行

Oracle PeopleSoftの未修正のリモートコード実行（RCE）脆弱性が、サイバー犯罪集団「シャイニーハンターズ」によって悪用され、複数の組織が侵害された。特に大学への攻撃が顕著で、データの窃取と身代金要求が行われた。セキュリティ企業Mandiantはこの攻撃を同社が「UNC6240」と追跡するグループによるものと特定し、活動期間を5月27日から6月9日までと分析した。Oracleは脆弱性のアドバイザリを6月10日に公開したが、その間に攻撃は行われていたため、脆弱性はゼロデイの状態だった。

この脆弱性はCVE-2026-35273として登録されており、CVSSスコアは9.8（最大10）と評価されている。特筆すべきは、認証不要かつユーザー操作を必要としない点だ。攻撃者はHTTP経由でネットワークアクセスさえあれば、PeopleSoftサーバーを乗っ取ることが可能となる。具体的には、PeopleSoft Enterprise PeopleToolsの「Updates Environment Management」コンポーネントに存在する脆弱性で、外部からアクセス可能なEnvironment Management Hub（PSEMHUB）が攻撃対象となる。影響を受けるバージョンはPeopleTools 8.61および8.62で、それより古いサポート外のバージョンも同様に脆弱である可能性が高い。Oracleはこの脆弱性の報告に対し、TrendAI Zero Day InitiativeとTrendAI Researchの研究者に謝意を示している。

MandiantのCTOであるCharles Carmakalは、この脆弱性が実環境で悪用されていることを確認しており、その一方でOracleは自社システムでの被害状況について明確な発表を行っていない。Oracleのアドバイザリはサポートログインが必要なドキュメントへのリンクのみが掲載されており、一般に公開されているパッチの有無や完全な修正プログラムの提供状況は不明確なままとなっている。現時点では、緊急的な回避策と監視強化が主な対応策となっている。

攻撃の詳細が明るみに出たのは、攻撃者側のミスによるところが大きい。研究者の@nahamike01が公開されたディレクトリを発見し、Mandiantがその後の調査で5つの連続したIPアドレスを特定した。これらのIPアドレスでは、PythonのSimpleHTTPServerがポート8888で稼働しており、攻撃者のステージングファイルが露出していた。具体的には、共有された.bash_history、Microsoft Azureのバイナリに偽装したカスタムMeshCentralリモート管理エージェント、そして横展開用のスクリプトなどが含まれていた。これらのエージェントは、azurenetfiles.netというドメインにコマンド・アンド・コントロール（C2）サーバーと通信を行っていた。このドメイン名は、Microsoft Azure NetApp Filesに似せたものとなっていた。

横展開スクリプトには[victim]_fanout.shという名称が付けられており、SSH経由で内部ホストに対して攻撃を拡大していた。具体的には、/etc/hostsから抽出した内部ホストのリストに対し、ハードコードされたユーザー名とパスワードを用いてブルートフォース攻撃を行い、侵害を拡大していた。また、侵害されたPeopleSoftディレクトリ内には、README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXTというマーカーが残されていた。さらに、攻撃者は窃取したデータをzstdで圧縮し、ShinyHuntersのリークサイトの公開ミラーをホストするサーバーへのSSH接続を行っていたことがコマンド履歴から判明した。Mandiantは、IPアドレスから100以上の組織を特定し、通知を行った。

シャイニーハンターズの攻撃手法とゼロデイ脆弱性の悪用

シャイニーハンターズは、データ窃取と脅迫を目的としたサイバー犯罪集団として知られている。同グループはこれまでにも複数の大規模なデータ漏洩事件に関与しており、被害者に対して身代金を要求する手口で活動を行っている。今回の攻撃では、Oracle PeopleSoftの未修正のRCE脆弱性CVE-2026-35273を悪用し、認証やユーザー操作を必要とせずにサーバーを乗っ取ることが可能となった。この脆弱性は、PeopleSoft Enterprise PeopleToolsの「Updates Environment Management」コンポーネントに存在し、外部からアクセス可能なEnvironment Management Hub（PSEMHUB）を介して攻撃が行われる。

攻撃の成功には、PSEMHUBがインターネットからアクセス可能な状態であることが前提となる。多くの組織では、社内システムへのアクセスを容易にするために、管理インターフェースを外部公開しているケースが少なくない。しかし、こうした設定はセキュリティリスクを高める要因となる。特に、認証不要でリモートからのコード実行が可能な脆弱性が存在する場合、攻撃者にとっては理想的な侵入経路となる。そのため、PSEMHUBの外部公開は直ちに見直す必要がある。

Mandiantによると、攻撃は5月27日から6月9日までの間に行われ、特に大学への攻撃が顕著であった。大学は研究データや学生情報などの機密性の高い情報を多く保有しており、これらが攻撃者の標的となったと考えられる。攻撃者は侵入後、データを窃取し、被害者に対して身代金を要求することで利益を得る手口を採用している。こうした攻撃手法は、近年増加傾向にあるランサムウェア攻撃と類似しており、データの窃取と脅迫を組み合わせた二重の脅迫（double extortion）の一例と言える。

CVE-2026-35273の技術的詳細と影響範囲

CVE-2026-35273は、CVSSスコア9.8という非常に深刻な脆弱性である。このスコアは、攻撃の難易度が低く、影響範囲が広いことを示している。具体的には、リモートからのコード実行が可能であり、認証やユーザー操作を必要としないため、攻撃者にとっては極めて魅力的な攻撃ベクトルとなる。この脆弱性が存在する「Updates Environment Management」コンポーネントは、PeopleSoftの環境管理機能を担う重要な部分であり、システムの設定や更新を行う際に使用される。

影響を受けるバージョンはPeopleTools 8.61および8.62とされているが、それより古いサポート外のバージョンも同様に脆弱である可能性が高い。Oracleはサポート外のバージョンに対するセキュリティパッチの提供を行わないため、これらのバージョンを使用している組織は、直ちにアップグレードまたは代替ソリューションへの移行を検討する必要がある。また、脆弱性の報告に関しては、TrendAI Zero Day InitiativeとTrendAI Researchの研究者が貢献しており、こうした産学連携による脆弱性発見と報告がセキュリティ向上に寄与している。

Oracleは6月10日にアドバイザリを公開したが、その間に攻撃が行われていたため、脆弱性はゼロデイの状態であった。ゼロデイ脆弱性は、パッチが提供される前に攻撃が行われるため、被害を最小限に抑えることが困難となる。特に、重要な業務システムであるPeopleSoftを使用している組織にとっては、迅速な対応が求められる。しかし、Oracleのアドバイザリはサポートログインが必要なドキュメントへのリンクのみが掲載されており、一般の利用者がアクセスしにくい状態となっている。このため、影響を受ける組織は、サポート窓口を通じて情報を入手するか、セキュリティベンダーのアドバイスを求める必要がある。

シャイニーハンターズの攻撃ツールと横展開手法

シャイニーハンターズは、攻撃に際して複数のカスタムツールと横展開手法を使用していた。攻撃者は、PythonのSimpleHTTPServerをポート8888で稼働させ、ステージングファイルを露出させていた。これらのファイルには、.bash_history、カスタムMeshCentralリモート管理エージェント、横展開用のスクリプトなどが含まれていた。MeshCentralはオープンソースのリモート管理ツールであり、攻撃者はこれを悪用して内部システムへのアクセスを維持していた。

横展開スクリプト[victim]_fanout.shは、SSH経由で内部ホストに対して攻撃を拡大していた。具体的には、/etc/hostsから抽出した内部ホストのリストに対し、ハードコードされたユーザー名とパスワードを用いてブルートフォース攻撃を行っていた。この手法は、内部ネットワークの脆弱性を悪用した典型的なラテラルムーブメント（横展開）の一例である。また、侵害されたディレクトリ内には、README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXTというマーカーが残されていた。これは、被害者に対して攻撃が行われたことを明確に示すものであり、心理的な圧力をかける目的もあったと考えられる。

攻撃者は窃取したデータをzstdで圧縮し、ShinyHuntersのリークサイトの公開ミラーをホストするサーバーへのSSH接続を行っていた。このリークサイトは、被害者のデータを公開するためのプラットフォームとして機能しており、攻撃者はデータの窃取と同時に、被害者に対する圧力手段として使用していた。こうした手法は、ランサムウェア攻撃における二重の脅迫戦略と同様であり、被害者に対して身代金の支払いを強要するための手段として使用されている。

組織が取るべき緊急対策と長期的なセキュリティ強化

今回の攻撃を受けて、影響を受ける組織は直ちに緊急対策を講じる必要がある。まず、PSEMHUBへの外部アクセスを直ちに遮断することが最優先事項となる。外部からのアクセスが必要な場合には、VPNやゼロトラストネットワークアーキテクチャを導入し、厳格なアクセス制御を行うことが重要である。また、PeopleSoftのバージョンを確認し、8.61または8.62を使用している場合には、直ちにOracleから提供されるパッチを適用する必要がある。サポート外のバージョンを使用している組織は、アップグレードまたは代替ソリューションへの移行を検討する必要がある。

次に、侵害の兆候（IoC）を監視することが重要である。Mandiantは、azurenetfiles.netというドメイン名や、特定のポート、ファイル名などをIoCとして公開している。これらのIoCを基に、ネットワークトラフィックの監視やログの分析を行い、既に侵害されている可能性のあるシステムを特定することができる。また、内部ネットワークの横展開の兆候を監視するために、SSH接続のログや不審なプロセスの実行履歴を確認することも有効である。

長期的なセキュリティ強化としては、ゼロトラストセキュリティモデルの導入が挙げられる。ゼロトラストは、「信頼しない、常に検証する」という原則に基づいており、ネットワーク内外を問わず、あらゆるアクセス要求に対して厳格な検証を行う。これにより、たとえ外部からの侵入が行われたとしても、内部での横展開を防ぐことが可能となる。また、定期的な脆弱性診断やペネトレーションテストの実施、従業員へのセキュリティ教育の強化なども重要である。

Oracleとサイバーセキュリティコミュニティの対応

Oracleは、脆弱性のアドバイザリを6月10日に公開したが、その間に攻撃が行われていたため、ゼロデイの状態であった。アドバイザリの公開後も、一般の利用者がアクセスしやすい形での情報提供が求められる。特に、サポート外のバージョンを使用している組織に対しては、代替手段やセキュリティベストプラクティスの提供が必要となる。また、脆弱性の報告に貢献した研究者に対する謝意を示すとともに、今後も産学連携による脆弱性発見と報告の促進が期待される。

サイバーセキュリティコミュニティにおいては、今回の攻撃を受けて、PeopleSoftのような重要な業務システムに対するセキュリティ対策の見直しが進んでいる。特に、外部公開されている管理インターフェースのセキュリティ強化や、リモートからのアクセス制御の厳格化が求められている。また、ゼロデイ脆弱性に対する早期発見と対応のための取り組みも強化されている。こうした取り組みは、今後も継続的に行われることが期待される。

今後の動向と注意すべきポイント

今後、シャイニーハンターズをはじめとするサイバー犯罪集団は、同様の手法を用いた攻撃を拡大する可能性が高い。特に、大学や研究機関、政府機関などの機密性の高い情報を保有する組織は、標的となるリスクが高い。そのため、これらの組織は、セキュリティ対策の強化とともに、攻撃の兆候を早期に発見するための監視体制の整備が求められる。

また、CVE-2026-35273のような高リスクの脆弱性が発見された場合には、迅速な対応が求められる。組織は、ベンダーからの情報を常に把握し、パッチの適用や回避策の実施を迅速に行うことが重要である。さらに、セキュリティベンダーや研究者との連携を強化し、新たな脅威に対する情報共有を行うことで、集団的な防御体制を構築することが求められる。

最後に、ユーザーや従業員に対するセキュリティ意識の向上も重要なポイントとなる。フィッシングメールや不審なリンクへの注意喚起、定期的なセキュリティ教育の実施などを通じて、組織全体のセキュリティ意識を高めることが、攻撃の防止につながる。特に、リモートワークの普及に伴い、自宅からのアクセスに対するセキュリティ対策も強化する必要がある。

まとめ

シャイニーハンターズによるOracle PeopleSoftのゼロデイ脆弱性CVE-2026-35273を悪用した攻撃は、大学を含む複数の組織に深刻な被害をもたらした。この脆弱性は、認証不要かつユーザー操作不要でリモートからのコード実行が可能であり、CVSSスコア9.8という極めて深刻なリスクを有している。攻撃者は、PSEMHUBの外部公開を悪用し、カスタムツールを用いて内部ネットワークへの横展開を行っていた。

影響を受ける組織は、直ちにPSEMHUBへの外部アクセスを遮断し、PeopleSoftのバージョンを確認してパッチを適用する必要がある。また、侵害の兆候を監視し、ゼロトラストセキュリティモデルの導入など、長期的なセキュリティ強化に取り組むことが求められる。Oracleやサイバーセキュリティコミュニティも、迅速な情報提供と支援を行うことで、被害の拡大防止に努める必要がある。

今後も同様の攻撃が増加することが予想されるため、組織はセキュリティ対策の強化とともに、新たな脅威に対する備えを怠らないことが重要である。