Oracle PeopleSoftのゼロデイCVE-2026-35273。PeopleToolsの未認証RCEとShinyHuntersによる大学狙いの連続侵害
対象の目安: Oracle PeopleSoftを運用する情報システム担当 / 実務

Oracle PeopleSoftは、人事や給与、財務、学務といった基幹業務を束ねるERP製品群です。そのアプリケーションを動かす基盤ソフトウェアがPeopleToolsで、開発ツールや実行環境、システム管理機能を提供します。このPeopleToolsに脆弱性CVE-2026-35273が見つかり、未認証のリモート攻撃者がネットワーク経由でPeopleToolsを侵害できる状態になりました。CVSS v3.1の基本値は9.8です。
この記事は、PeopleSoftを運用する情報システムの担当に向けて、なぜ認証の前段に置かれた機能が乗っ取りに直結するのかを、NVDとOracleの公式アドバイザリ、CISAの情報をもとに整理します。あわせて、Oracleが正規のアドバイザリを公開する前からこの脆弱性がゼロデイとして悪用され、大学を中心に多数の組織が侵害された経緯と、収録されたKEVを踏まえた対応の緊急度を扱います。攻撃の再現手順やペイロードは示しません。
未認証で重要機能に到達できる欠陥が乗っ取りを許す仕組み
CVE-2026-35273は、PeopleToolsのUpdates - Environment Managementコンポーネントに存在します。NVDとOracleは、この脆弱性をCWE-306(重要な機能に対する認証の欠如、Missing Authentication for Critical Function)に分類しています。CWE-306は、本来なら利用者の身元確認を要求すべき重要な機能が、認証を経ずに実行できてしまう欠陥を指します。認証という最初の関門が機能そのものに掛かっていないため、外部の誰もがその機能を呼び出せる状態になります。
NVDの評価では、CVSS v3.1の基本値は9.8で、ベクトルはAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hです。ネットワーク経由(AV:N)で、攻撃の複雑さは低く(AC:L)、必要な権限はなく(PR:N)、利用者の操作も不要(UI:N)で、機密性と完全性と可用性のいずれにも高い影響が及びます。認証を要さず単独のリクエストで到達できる点が、この高い評価につながっています。
root causeについて、脆弱性を分析したRapid7は、認証なしでアクセスできる/PSEMHUB/hubエンドポイントが攻撃者由来のデータのデシリアライゼーションを経てリモートコード実行に至ると説明しています。この「デシリアライゼーション」はあくまで研究者による技術分析であり、NVDが付与した分類はCWE-306である点は区別して押さえておく必要があります。認証の壁が機能に掛かっていないという欠陥が入口となり、その先の危険な処理へつながるという流れです。
信頼できないデータの復元がRCEへ転じる機構そのものは、次の記事で仕組みと対策を整理しています。
あわせて読みたい
安全でないデシリアライゼーションの対策。信頼できないデータの復元が任意コード実行につながる仕組み
影響を受ける版と修正の提供
影響を受けるバージョンと修正の提供元は次のとおりです。自組織のPeopleToolsが該当するかを、まずバージョンで確認します。
| 区分 | 内容 |
|---|---|
| 製品とコンポーネント | Oracle PeopleSoft Enterprise PeopleTools / Updates - Environment Management |
| 影響を受ける版 | PeopleTools 8.61と8.62 |
| 修正の提供 | Oracleの定例外セキュリティアラート(2026年6月10日公開) |
Oracleは、四半期ごとのCritical Patch Updateの周期を待たず、2026年6月10日に本CVEに対する定例外のセキュリティアラート(Security Alert)を公開しました。定例外でアラートを出す判断は、それだけ緊急度が高いという合図です。対応にあたっては、このアラートで示されたパッチを適用し、対象のバージョンで修正が反映されるかを確認します。適用の前提や手順はOracle公式のアドバイザリに従います。
ShinyHunters(UNC6240)によるゼロデイ悪用と大学への集中
この脆弱性は、Oracleがアドバイザリを公開する前から実際に悪用されていました。Google傘下のMandiantによれば、悪用の活動はOracleのアラートがCVEを公表した2026年6月10日に約2週間先立つ、2026年5月27日から6月9日の期間に観測されています。この間、修正も公開情報も存在しなかったため、期間の全体を通じてゼロデイとして扱われていたことになります。
Mandiantは、このキャンペーンを金銭目的でデータ窃取と恐喝を行う集団UNC6240(通称ShinyHunters)に帰属しました。攻撃者は脆弱なPeopleSoft環境から情報を盗み出し、その公開をちらつかせて金銭を要求する手口を取ります。Mandiantが脆弱なエンドポイントに一致するIPアドレスをもとに通知した100を超える組織のうち、約68%が大学やカレッジなどの高等教育機関だったと報告されています。学務や人事、財務のデータを集約するERPが、機微な個人情報を多く抱える教育機関で狙われた構図です。
境界に公開された基幹システムが未認証の脆弱性で侵入口として狙われる構図は、別のERP製品でも起きています。Oracle E-Business Suiteの事例は、次の記事で整理しています。
あわせて読みたい
Oracle E-Business SuiteのCVE-2026-46817。未認証で決済基盤を狙われる構図と初動
CISA KEV収録を踏まえた対応の緊急度
CISAのKEV(Known Exploited Vulnerabilities)カタログは、実環境での悪用が確認された脆弱性を収録し、対応の優先度を判断する材料になります。CISAは2026年6月12日に本CVEをKEVカタログへ追加し、連邦民間行政機関(FCEB)に対して2026年6月15日までの是正を指示しました。KEVへの収録は、この脆弱性が「悪用され得る」段階を越えて「実際に悪用されている」段階にあることを公的に示すものです。
連邦機関向けの是正期限は民間組織を直接拘束するものではありませんが、KEV収録と短い期限は、この脆弱性が後回しにできない優先度にあることを示します。ゼロデイとして先行的に悪用され、KEVにも収録された脆弱性は、パッチ適用を最優先で進める対象です。
KEVやEPSSを組み合わせた優先度づけの考え方は、次の記事で詳しく扱っています。
あわせて読みたい
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
情報システム担当の初動
未認証で乗っ取りの起点になり得る脆弱性で、かつ実際の悪用が先行していた以上、パッチ適用と侵害調査を並行して進めます。次の順序で手を付けます。
- 1
バージョンと露出状況を確認する
稼働中のPeopleToolsのバージョンを確認し、影響対象(8.61と8.62)に該当するかを判定します。あわせて、PeopleSoftのWebインターフェースや/PSEMHUB/hubを含む管理系エンドポイントがインターネットへ面していないか、外部から到達できる構成になっていないかを点検します。露出の有無で緊急度が変わります。
- 2
定例外セキュリティアラートのパッチを適用する
2026年6月10日にOracleが公開した定例外のセキュリティアラートで示されたパッチを適用します。適用の前提と手順はOracle公式のアドバイザリに従い、対象のバージョンで修正が反映された状態になったかを確認します。
- 3
すぐ適用できない場合は露出を遮断する
パッチをすぐに適用できない場合は、PeopleSoftのWebインターフェースや管理系エンドポイントへの外部からのアクセスを社内ネットワークなど必要な範囲に絞り、認証を経ない到達経路を塞ぎます。
- 4
ゼロデイ期間の侵害を疑って調査する
悪用が2026年5月27日から6月9日に観測されているため、この期間にインターネットへ公開し未修正で運用していた場合は侵害を疑って調べます。データ窃取と恐喝を狙う攻撃であることを踏まえ、想定外のアクセスログ、不審なプロセスやアカウント、外部との不審な通信、ファイルの改変痕跡を確認します。
- 5
資格情報のローテーションと監視強化を進める
侵害が疑われる場合は、PeopleSoftに関わる資格情報やデータベースの接続情報、暗号鍵のローテーションを検討します。あわせて、当該システムのログ保全と監視を強化し、再侵入や横展開の兆候を継続して確認します。
侵害の有無を事実として確定できない段階でも、影響を大きめに見積もって資格情報のローテーションを進めるほうが、被害の拡大を抑えやすくなります。なお、脆弱性の検証は自組織が管理する環境に限って行い、他者のシステムへの無断のアクセスや検査は不正アクセス禁止法などの関連法令に触れるため行いません。悪用手順の詳細をここで示さないのも同じ理由からです。
自組織が使う製品のCVEやアドバイザリを継続的に追う仕組みは、こうした緊急事案への基本的な備えになります。CVEやJVNの追い方は、次の記事で整理しています。
あわせて読みたい
CVE・JVNの読み方と脆弱性情報の追い方。採番の仕組みからNVD・ベンダー情報までを整理する
まとめ
CVE-2026-35273は、PeopleToolsのUpdates - Environment Managementコンポーネントが認証の前段で狙われる危うさを示した脆弱性です。未認証でネットワーク経由の侵害に至り、CVSSは9.8と評価されました。NVDとOracleの分類はCWE-306で、研究者は/PSEMHUB/hubのデシリアライゼーションを経てRCEに至ると分析しています。Oracleのアドバイザリ公開に先立つ2026年5月27日から6月9日にゼロデイとして悪用され、ShinyHunters(UNC6240)によって大学を中心に100超の組織が侵害されました。CISAは6月12日にKEVへ収録し、連邦機関に6月15日までの是正を指示しています。対応の要点は、影響版(8.61と8.62)の確認と定例外アラートのパッチ適用を最優先で進めつつ、ゼロデイ期間の侵害を疑って調査し、必要に応じて資格情報のローテーションを進めることにあります。
CVE-2026-35273への対応で確認したいポイント
- 稼働中のPeopleToolsのバージョンを確認し、影響対象(8.61と8.62)に該当するか判定したか
- PeopleSoftのWebインターフェースや管理系エンドポイントが外部から到達できる構成になっていないか点検したか
- 2026年6月10日の定例外セキュリティアラートで示されたパッチを適用し、修正の反映を確認したか
- 適用までの間、外部からのアクセスを必要な範囲に絞り、露出を遮断したか
- 悪用が観測された2026年5月27日から6月9日にインターネット公開かつ未修正だった場合、侵害を疑って調査したか
- 侵害が疑われる場合、資格情報や暗号鍵のローテーションと監視強化を進めたか
出典・参考
- Oracle Security Alert Advisory - CVE-2026-35273
- NVD - CVE-2026-35273
- CISA Known Exploited Vulnerabilities Catalog
- CISA Adds One Known Exploited Vulnerability to Catalog (2026-06-12)
- Rapid7: Active Exploitation of Oracle PeopleSoft Zero-Day (CVE-2026-35273)
- CWE-306: Missing Authentication for Critical Function (MITRE)
関連する記事
安全でないデシリアライゼーションの対策。信頼できないデータの復元が任意コード実行につながる仕組み
安全でないデシリアライゼーション(CWE-502)を、発生原理から対策まで開発者目線で整理します。オブジェクトの復元がなぜ任意コード実行やDoSにつながるのか、ガジェットチェーンの考え方、OWASP Top 10での位置づけの変遷、そしてネイティブ形式を避けJSONを使う根本対策と言語別の危険APIの避け方を解説します。
Oracle E-Business SuiteのCVE-2026-46817。未認証で決済基盤を狙われる構図と初動
Oracle E-Business SuiteのOracle Payments(File Transmission)に見つかった未認証の脆弱性CVE-2026-46817(CVSS 9.8)を一次情報で整理します。境界に公開されたERP基盤が認証なしで狙われる仕組み、露出遮断とCPU適用の初動、KEV未収録下での優先度づけ、決済系データを想定した侵害調査を実務目線で解説します。
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
毎月大量に出るパッチを全部当てるのは不可能です。実際に悪用されている脆弱性(CISA KEV)と悪用予測スコア(EPSS)、深刻度(CVSS)を組み合わせたリスクベースの優先度付けを、優先度マトリクスと運用ステップ付きで実務担当者向けに解説します。


