FORSMILE
EN
セキュリティ2026/06/13

【緊急】Oracle PeopleSoftにゼロデイRCE脆弱性、大学など100超の組織が標的に

Oracle PeopleSoft Enterprise PeopleToolsに認証なしでリモートコード実行が可能な深刻な脆弱性(CVSS 9.8)が発見され、ゼロデイ攻撃で多数の組織が侵害されています。早急なパッチ適用とアクセス制限が必要です。

ブログ一覧へ / Back to Blog

2026年6月10日、Oracleは統合基幹業務システムPeopleSoftのPeopleToolsコンポーネントに存在する、認証なしでリモートコード実行(RCE)を許す深刻なゼロデイ脆弱性「CVE-2026-35273」に対する緊急セキュリティ勧告を公開しました。この脆弱性はCVSSスコア9.8(緊急)と評価されており、すでに多数の組織がサイバー犯罪グループによるゼロデイ攻撃の標的となっています。特に教育機関を中心に100を超える組織が侵害され、機微なデータの窃取や漏洩被害が確認されています。

脆弱性の概要と影響範囲

「CVE-2026-35273」は、Oracle PeopleSoft Enterprise PeopleToolsの「Updates Environment Management」コンポーネントにおける認証チェックの欠落に起因する脆弱性です。ネットワーク経由でHTTPアクセスが可能な認証されていない攻撃者が、この脆弱性を悪用することで、特別な資格情報なしにPeopleSoft Enterprise PeopleToolsを完全に制御できるようになります。これにより、システムの機密性、完全性、可用性のすべてにおいて「高」の影響が生じ、データの改ざん、破壊、システム停止、機密情報の窃取といった深刻な被害につながる可能性があります。対象となるバージョンはPeopleTools 8.61および8.62です。

⚠ CVE Score — 最高危険度 / CRITICAL
9.8CRITICALCVE-2026-35273

具体的な影響・攻撃シナリオ

米マンディアントおよびGoogle脅威インテリジェンスグループの調査によると、サイバー犯罪組織「ShinyHunters」が2026年5月27日から6月9日にかけて、この脆弱性を突くゼロデイ攻撃を展開しました。攻撃者は正規サービスを模倣した偽ドメインや管理ツールを用いて遠隔操作環境を構築し、システム内部を探索して広範囲に横展開するスクリプトを実行しました。不正侵入したサーバーの公開ディレクトリに脅迫文を書き込み、収集したデータベースやログファイルを流出させるなどの手口が確認されています。被害組織の68%を高等教育機関が占め、大量の個人情報が集中している学術システムが特に標的となりました。CISAも本脆弱性を「Known Exploited Vulnerabilities Catalog」に追加し、連邦政府機関に対して早急な対応を義務付けています。

エンジニアが今すぐ取るべき対策

この緊急度の高い脆弱性に対し、以下の対策を直ちに実施してください。

1. **公式パッチの適用**: Oracleが提供するセキュリティパッチ(Patch Availability Document ID: CPU187)を直ちに適用してください。サポート対象のバージョン(8.61および8.62)を使用していることを確認し、古いバージョンを使用している場合はアップグレードを検討してください。

2. **ネットワークアクセス制御の強化**: PeopleSoft管理コンポーネントへのインターネットからの直接アクセスを禁止し、外部からのアクセスを完全に遮断してください。これは一時的な緩和策として非常に重要です。特定の信頼できるIPアドレスからのアクセスのみを許可するよう、ファイアウォールやWAF(Web Application Firewall)を導入し、厳格なアクセス制限を設定してください。

nginx
```nginx
# PeopleSoft管理コンポーネントへのアクセス制限例 (Nginx)
location /PSP/peoplesoft/ { # PeopleSoftの管理パスの例。環境に合わせて調整。
    # 許可する管理用IPアドレス
    allow 192.0.2.10/32; # 自社の管理用IPアドレスに置き換える
    allow 203.0.113.20/32; # 必要に応じて追加
    
    # それ以外のすべてのアクセスを拒否
    deny all;

    # バックエンドのPeopleSoftサーバーへのプロキシ設定
    # proxy_pass http://your_peoplesoft_backend_server;
    # proxy_set_header Host $host;
    # proxy_set_header X-Real-IP $remote_addr;
    # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # proxy_set_header X-Forwarded-Proto $scheme;
}

# より広範な範囲で不正なリクエストをブロックする例
# (WAFで対応するのが理想ですが、Nginxでも基本的なフィルタリングは可能)
# map $request_uri $block_rce_attempts {
#     "~*(; |%3B|%00|%0A|%0D|%20|%2F|\.\.)" 1;
#     default 0;
# }
# if ($block_rce_attempts = 1) {
#     return 403;
# }
```

3. **アクセスログの監査**: PeopleSoft環境へのアクセスログを定期的に監査し、不審なアクセスパターンや異常な操作がないかを確認してください。特に、管理コンポーネントへのアクセス履歴を注意深く監視することが重要です。

4. **不審なファイルの検知**: システム内に不正なファイルやスクリプトが作成されていないか、EDR(Endpoint Detection and Response)ソリューションなどを活用して監視し、早期に検知・削除できる体制を整えてください。

📦
Amazon で関連書籍・ツールを検索
サーバーセキュリティ WAF クラウド
Amazonで探す →(アソシエイトリンク)

参考ソース・公式パッチ情報

Related articles