技術的な説明
Oracle PeopleSoft PeopleTools には認証の欠落脆弱性(CVSS 9.8)が含まれており、認証されていないリモート攻撃者が HTTP 経由で PeopleSoft インスタンスを完全に制御できます。CISA はこの脆弱性を2026年6月12日に既知の悪用される脆弱性カタログに追加し、連邦政府の修復期限を6月15日に設定しました。ShinyHunters(Mandiant によって UNC6240 として追跡)は2026年5月27日から6月9日の間にこれをゼロデイとして悪用し、100以上の組織全体の 300以上の PeopleSoft インスタンスを侵害しました — 68%が高等教育機関です。ノッティンガム大学は454,600件の学生記録が盗まれたことを確認しました。Oracle は6月10日に臨時勧告を発行し、パッチは間もなく提供される予定です。
攻撃経路
PeopleSoft の Environment Management コンポーネントへの認証されていない HTTP リクエスト。ShinyHunters は CVE-2026-35273 と既知の脆弱性を組み合わせた自動化された「ガジェットチェーン」ツールを開発し、大規模な悪用を可能にしました。横展開スクリプトはデフォルト PeopleSoft アカウント(psoft、oracle、linuxadm)での認証を試みます。
影響を受けるシステム
Oracle PeopleSoft PeopleTools バージョン 8.61 および 8.62(および潜在的により前のサポートされていないバージョン)。給与計算、学生記録、財政援助管理の HR やエンタープライズ、大学、政府機関全体で世界的に使用されています。
緩和策
oracle.com/security-alerts/alert-cve-2026-35273.html に従って Oracle の臨時緩和措置を直ちに適用してください。CISA BOD 26-04 に従って連邦機関は6月15日までに準拠する必要があります。IOC リスト(azurenetfiles[.]net TLS 証明書にリンクされた IP アドレス)をネットワークログと照合してください。完全なパッチが適用されるまで、PeopleSoft の Environment Management コンポーネントを内部ネットワークアクセスに制限してください。