シャイニーハンターズがOracle PeopleSoftを標的とした大規模データ窃取攻撃を実行中

Oracle PeopleSoftを使用する企業や教育機関に対し、シャイニーハンターズと呼ばれる犯罪集団が大規模なデータ窃取攻撃を展開している。同集団は攻撃の成功率について、システムの構成方法によって左右されると主張しており、攻撃手法の詳細と被害の実態について注目が集まっている。

シャイニーハンターズによるPeopleSoft標的型攻撃の全容

シャイニーハンターズは、Oracle PeopleSoftを稼働するクラウドおよびオンプレミス環境を標的にしたデータ窃取攻撃を実行中だと発表した。同集団は、100以上の組織に属する300を超えるPeopleSoftインスタンスからデータを窃取したと主張しており、被害の規模が拡大している。攻撃対象には教育機関が多く含まれており、同集団による過去の脅迫被害を受けた組織も確認されている。

攻撃の手法について、シャイニーハンターズは「ガジェットチェーン」と呼ばれる古い脆弱性とゼロデイ脆弱性を組み合わせた手法を使用していると説明している。ただし、同集団はこの攻撃がすべてのシステムで機能するとは限らず、PeopleSoftインスタンスの構成方法によって成功率が変わる可能性があるとしている。この点は、企業が自社のシステムをどのように保護しているかによって、攻撃の成否が分かれることを示唆している。

PeopleSoftの役割と企業への影響

Oracle PeopleSoftは、人事、給与、財務、サプライチェーン管理、調達、学生管理など、企業の基幹業務を支えるERP（企業資源計画）ソフトウェアである。大規模な組織で広く使用されており、特に教育機関や政府機関、大企業などで導入されている。このため、PeopleSoftが攻撃対象となった場合、被害は単一の企業にとどまらず、関連するサプライチェーン全体に波及する可能性がある。

攻撃を受けた組織は、顧客データ、従業員情報、財務記録などの機密情報が窃取されるリスクに直面する。特に教育機関では、学生や教職員の個人情報が含まれるため、被害が深刻化する可能性が高い。シャイニーハンターズは、窃取したデータを公開することで組織に圧力をかけ、身代金を要求する戦術を取っており、被害組織は迅速な対応が求められる。

シャイニーハンターズの動機と手法の詳細

シャイニーハンターズは、攻撃の動機について「FBIのポータルサイトに侵入し、誤った情報を正す声明を発表すること」を目指していたと主張している。しかし、この試みは失敗に終わり、FBIのPeopleSoftインスタンスへの侵入には至らなかったとしている。その一方で、英国のノッティンガム大学が攻撃を受け、窃取されたデータが同集団のデータリークサイトに公開されたことが確認されている。

同集団は、攻撃に「ガジェットチェーン」と呼ばれる手法を使用していると説明しており、これは複数の脆弱性を組み合わせてシステムに侵入する手法である。古い脆弱性とゼロデイ脆弱性を組み合わせることで、既存のセキュリティ対策を回避することを狙っている。ただし、同集団はこの攻撃がすべてのシステムで機能するとは限らないとも述べており、PeopleSoftの構成やセキュリティ設定によって攻撃の成功率が異なると考えられる。

研究者による攻撃ツールの発見とセキュリティ上の懸念

サイバーセキュリティ研究者のマイケル・R氏は、シャイニーハンターズ（または同集団を装うグループ）がオンラインで公開したディレクトリから、攻撃に使用されるツールやステージング用のファイルを発見したと報告している。これらのファイルには、PeopleSoft環境を標的とした攻撃に関連するツールが含まれており、攻撃の準備段階で使用された可能性が高い。

この発見は、シャイニーハンターズが攻撃を実行するために、複数の段階を経て準備を進めてきたことを示唆している。また、攻撃ツールが公開されたことで、他の犯罪集団が同様の手法を模倣する可能性も懸念される。企業は、自社のシステムがこのような攻撃にさらされるリスクを認識し、早急にセキュリティ対策を強化する必要がある。

Oracleの対応とセキュリティアップデートの重要性

現時点では、Oracleから公式な発表は行われておらず、同社がゼロデイ脆弱性の存在を認識しているかどうかは不明である。しかし、PeopleSoftのような基幹業務システムでは、定期的なセキュリティアップデートが不可欠である。企業は、Oracleから提供されるパッチを迅速に適用し、システムの脆弱性を最小限に抑える必要がある。

また、PeopleSoftのようなERPシステムでは、インターネットに公開されている管理画面やAPIが攻撃の入り口となることが多いため、これらのアクセスポイントを厳重に保護することが重要である。特に、認証機能の強化や多要素認証（MFA）の導入、不要なサービスの無効化など、基本的なセキュリティ対策を徹底することが求められる。

被害組織の対応と今後の展望

攻撃を受けた組織は、シャイニーハンターズから身代金を要求される可能性があり、その要求に応じるかどうかの判断が迫られる。しかし、身代金を支払ったとしても、データが完全に回復される保証はなく、また支払いがさらなる攻撃につながるリスクもある。このため、被害組織は、バックアップの復元やインシデントレスポンス計画に基づいた対応を優先すべきである。

シャイニーハンターズは、今後もPeopleSoftを標的とした攻撃を続ける可能性が高く、特に教育機関や政府機関などの組織が引き続き狙われることが予想される。企業は、自社のセキュリティ体制を見直し、攻撃の兆候を早期に検知するためのモニタリング体制を整備することが重要である。また、サイバーセキュリティの専門家と連携し、最新の脅威情報を共有することで、より効果的な防御策を講じることが求められる。

企業が取るべき具体的な対策と実務的なアドバイス

企業がPeopleSoftをはじめとするERPシステムを保護するためには、まずシステムの構成を見直すことが重要である。特に、インターネットに公開されている管理画面やAPIのアクセス制限を徹底し、不要なポートやサービスを無効化することで、攻撃対象となるリスクを低減できる。また、多要素認証（MFA）の導入やパスワードポリシーの強化、定期的なセキュリティ監査の実施など、基本的なセキュリティ対策を徹底することが不可欠である。

さらに、従業員へのセキュリティ教育を強化し、フィッシングメールや不審なリンクに対する警戒を促すことも重要である。シャイニーハンターズのような攻撃は、しばしば人的ミスをきっかけに発生するため、組織全体でセキュリティ意識を高める取り組みが求められる。また、バックアップ体制の整備やインシデントレスポンス計画の策定を通じて、万が一の攻撃に備えることが重要である。

まとめ：迫り来る脅威への備えと今後の注目点

シャイニーハンターズによるPeopleSoftを標的とした大規模データ窃取攻撃は、企業や教育機関にとって深刻な脅威となっている。同集団は、ガジェットチェーンと呼ばれる手法を使用してシステムに侵入し、機密データを窃取していると主張しており、その攻撃手法はますます巧妙化している。被害組織は、迅速な対応とセキュリティ体制の強化が求められており、特に教育機関を中心に被害が拡大している点に注目が集まっている。

今後、Oracleからの公式な対応やセキュリティアップデートが発表される可能性があるため、企業は最新の情報を注視する必要がある。また、シャイニーハンターズの攻撃手法が他の犯罪集団に模倣されるリスクもあるため、セキュリティ対策の強化は急務である。企業は、自社のシステムを保護するための包括的なセキュリティ戦略を策定し、常に最新の脅威に備えることが重要である。