CVE-2026-35273の脆弱性の詳細は公開されているのか

現時点で具体的な技術情報は公表されていない。今後のセキュリティ研究者による分析や、Oracleからの正式なアドバイザリの公開を待つ必要がある。

ShinyHuntersはどのようにして標的を選んだのか

主にインターネット上で公開されているPeopleSoftのエンドポイントをスキャンし、脆弱性が存在するシステムを自動的に特定したとみられる。Googleの通知が100以上の組織に及んだことから、広範なスキャンベースの攻撃だった可能性が高い。

開発

Oracle PeopleSoftゼロデイ、100超の組織を侵害

ハッカー集団ShinyHuntersがOracle PeopleSoftのゼロデイ脆弱性CVE-2026-35273を悪用し、100以上の組織に侵入。ノッティンガム大学から40GBのデータを窃取した。Googleの脅威インテルも確認。

2026年6月13日 7分で読める SINGULISM 編集チームが確認・編集

Oracle PeopleSoftゼロデイ、100超の組織を侵害 — Photo by Markus Spiske on Unsplash

ハッカー集団ShinyHuntersが、Oracle PeopleSoftの未修正のゼロデイ脆弱性を悪用し、100以上の組織に侵入したことを公表した。ノッティンガム大学が最初の被害者として名指しされ、学生情報や請求データを含む40GBのデータが流出したとされる。Googleの脅威インテリジェンスレポートもこの攻撃を裏付けており、高等教育機関が標的の中心となっている。

The Registerの報道によれば、ShinyHuntersは自らのデータ漏洩サイトにノッティンガム大学を掲載した後、同日中に盗んだファイルを公開した。交渉に応じなかった大学に対し、身代金要求が拒否されたためとみられる。ShinyHuntersの広報担当者は「ノッティンガム大学は公に確認された最初の事例の一つだ。影響を受けた組織への連絡を始めたばかりであり、合意を積極的に模索している」と述べている。他の100以上の被害組織について、データをいつ公開するかは明言していない。

Googleの脅威インテルが裏付け

Googleの脅威インテリジェンスレポートは、ShinyHuntersの主張を裏付ける内容を含む。報告書によれば、5月27日から6月9日までの間に、脆弱性CVE-2026-35273の悪用と一致する悪意ある活動が確認された。Googleは潜在的に脆弱なエンドポイントに関連するIPアドレスを持つ100以上のグローバル組織に通知した。その大半は米国に拠点を置き、68%が高等教育セクターに属する。

この攻撃の広がりは、標的型攻撃というよりは広範なスキャン型攻撃の可能性を示唆する。PeopleSoftは大学など大規模組織で広く使われるERPシステムであり、その普及率が被害の拡大につながったと見られる。

Oracleの対応は不明瞭

Oracleは「パッチ可用性ドキュメント（patch availability document）」を公開したものの、現時点で有効なパッチが提供されているかどうかは不明だ。この文書はパッチの準備状況を示すもので、実際の修正プログラムのリリース時期については明確な発表が行われていない。組織は恒久的な対策が利用可能になるまで、ワークアラウンドや一時的な防御策に頼らざるを得ない状況にある。

CVE-2026-35273の詳細な技術情報はまだ公開されていないが、ShinyHuntersが組織のネットワークに侵入し、データベースにアクセスするために使用したことが確認されている。リモートコード実行または認証バイパスのいずれかの脆弱性である可能性が高い。

業界への影響と対策の課題

今回のインシデントは、エンタープライズ向けERPシステムのセキュリティ管理に新たな課題を突きつける。PeopleSoftは多くの大学や政府機関で基幹システムとして稼働しており、一度侵害されれば広範囲に影響が及ぶ。特に高等教育機関は限られたセキュリティ予算と複雑なIT環境を抱えており、対応が困難だ。

データ保護の重要性が高まる中、Encrypted Spaces公開、Signal元開発者が暗号化コラボ基盤を構築のような暗号化コラボレーションツールの開発も進んでいるが、基盤システム自体の脆弱性対策が後手に回っている現状が浮き彫りになった。

組織側の対策としては、パッチ未適用のシステムに対するネットワークセグメンテーションの徹底、侵入検知システムの強化、そしてゼロデイ被害を想定したインシデントレスポンス計画の策定が急務だ。Googleは既に通知を出したが、全ての被害組織が気付いているとは限らない。

編集部の見解

短期的影響：今後3〜6カ月の間に、ShinyHuntersと同様の攻撃手法を模倣するグループが増加する可能性がある。CVE-2026-35273の技術的詳細が公開されれば、より多くの攻撃者が標的を探すだろう。高等教育機関は特に警戒が必要で、一定期間のネットワーク監視強化とシステム監査が推奨される。Oracleのパッチ提供が遅れれば、被害はさらに拡大する恐れがある。

長期的視点：この事件は、大規模ERPシステムのセキュリティガバナンスそのものを見直す契機となる。ゼロデイ脆弱性の発見からパッチ適用までのタイムラグが、ビジネスに深刻な影響を与えることを再認識させた。長期的には、クラウドネイティブなアーキテクチャへの移行や、サプライチェーン全体での脆弱性管理の標準化が進むと見られる。大学のように複雑なシステムを抱える組織には、定期的なセキュリティ評価とインシデント対応訓練の義務化が求められよう。

編集部からの問い：Oracleはパッチ提供までにどれだけの時間を要するのか。また、今回の攻撃で露呈した「既知の未修正脆弱性」を放置する企業文化は、なぜ変わらないのか。ユーザー組織はERPベンダーに対して、脆弱性開示とパッチ適用の透明性を求める圧力を強めるべきではないか。この事件を機に、エンタープライズソフトウェアにおける責任の所在が改めて問われている。

参考

ShinyHunters Hacked 100+ Organizations By Exploiting an Oracle PeopleSoft 0-Day - Slashdot — 2026-06-12公開
ShinyHunters claims to have breached 100+ orgs by exploiting Oracle PeopleSoft 0-day - The Register (元記事) — 2026-06-12公開

よくある質問

CVE-2026-35273の脆弱性の詳細は公開されているのか: 現時点で具体的な技術情報は公表されていない。今後のセキュリティ研究者による分析や、Oracleからの正式なアドバイザリの公開を待つ必要がある。
ShinyHuntersはどのようにして標的を選んだのか: 主にインターネット上で公開されているPeopleSoftのエンドポイントをスキャンし、脆弱性が存在するシステムを自動的に特定したとみられる。Googleの通知が100以上の組織に及んだことから、広範なスキャンベースの攻撃だった可能性が高い。

出典: Slashdot

執筆鈴木由香

編集・確認山本健一郎

最終更新日: 2026年6月13日

本サイトでは、事実誤認や不正確な情報が見つかった場合、速やかに訂正記事を掲載します。訂正のご依頼はお問い合わせフォームよりご連絡ください。