Oracle PeopleSoft CVE-2026-35273 ゼロデイをShinyHuntersが悪用：Mandiantが100組織超に通知、68%が高等教育機関、MeshCentral経由の攻撃チェーンを公開

Oracleは2026年6月10日、PeopleSoft Enterprise PeopleTools の重大脆弱性 CVE-2026-35273（CVSS 9.8、認証なしのリモートコード実行）に対する out-of-band Security Alert を公開しました。同日、Mandiant および Google Threat Intelligence Group（GTIG）が公開した分析によれば、この脆弱性は Oracle 開示に先立つ 2026年5月27日〜6月9日の期間、データ恐喝グループ ShinyHunters（GTIG分類で UNC6240）によってゼロデイとして実環境で悪用されていました。Mandiant が脆弱な PeopleSoft エンドポイントを保有する組織として通知した100以上の組織のうち、68%が高等教育機関で、ノッティンガム大学も被害を確認しています。

CVE-2026-35273 の脆弱性詳細

Oracle 公式 Security Alert（2026年6月10日、Rev 1）によれば、本脆弱性の技術仕様は以下のとおりです。

• 製品：PeopleSoft Enterprise PeopleTools
• 影響コンポーネント：Updates Environment Management
• 影響バージョン：PeopleSoft Enterprise PeopleTools 8.61、8.62（PeopleSoft Enterprise Applications 利用顧客も影響を受ける可能性あり）
• CVSS v3.1 Base Score：9.8（Network／Low complexity／None privs／None user interaction／unchanged scope／High C・I・A）
• プロトコル：HTTP
• 認証要件：不要
• 結果：リモートコード実行

PeopleSoft は人事・給与・財務・サプライチェーン・大学業務などのコア業務を管理するエンタープライズ ERP スイートで、Mandiant の報告では Environment Management Hub（PSEMHUB）のエンドポイントが攻撃対象となっています。Oracle は本アドバイザリで、My Oracle Support 上の Patch Availability Document（documentId=CPU187）を通じて緩和策・適用手順を案内しています。また、推奨される緩和策の実装を「高優先度のリスク低減策」と位置づけ、直ちに対応するよう強く推奨しています。Oracle 自身は悪用の事実については公式に言及していませんが、Mandiant/GTIG が独立して悪用を確認しています。

Oracle公式アドバイザリのCredit Statementでは、Bobby Gould氏（TrendAI Zero Day Initiative）、Lucas Miller氏（TrendAI Research）、Minh Giang氏（TrendAI Zero Day Initiative）が報告者としてクレジットされています。

ShinyHunters/UNC6240 の攻撃チェーン

Google Cloud の Threat Intelligence ブログで Mandiant および GTIG が公開した分析は、攻撃インフラのオープンディレクトリが偶発的に公開状態となっていたため、攻撃者のステージングサーバーから .bash_history・カスタムスクリプト・C2 バイナリを含む詳細な情報が抽出可能でした（X 上で @nahamike01 が公開ディレクトリを報告した経緯）。これにより、UNC6240 の攻撃チェーンが時系列で再構成されています。

攻撃ステージのタイムライン

• 2026年5月27日 22:14 UTC：連続する5つのIPアドレス（142.11.200.186〜190）上に MeshCentral v1.1.59 をインストール、C2 ステージング環境を構築
• 同日 22:25 UTC：acme-client npm パッケージをインストール、偽装ドメイン azurenetfiles.net 向けに Let’s Encrypt SSL 証明書を自動取得
• 2026年5月27日以降：CVE-2026-35273 を用いた PSEMHUB エンドポイントへの攻撃を開始
• 2026年5月29日 18:46 UTC：authenticode 関連 npm パッケージの存在確認（バイナリ署名の検討）
• 2026年6月9日：ShinyHunters Data Leak Site（DLS）で被害組織のデータ公開開始
• 2026年6月10日：Oracle 公式 Security Alert 公開

MeshCentral を用いた C2 ステージング

UNC6240 は、オープンソースのリモート管理ツール MeshCentral を C2 として利用していました。攻撃者は Windows 向けの MeshCentral エージェントを以下の名前で配置し、Microsoft Azure の正規サービスを装っています。

• meshagent32-azure-ops.exe
• meshagent64-azure-ops.exe
• meshagent64-v2.exe

これらのエージェントは wss://azurenetfiles.net:443/agent.ashx への WebSocket 接続でハードコードされており、ドメイン名 azurenetfiles.net は Microsoft Azure NetApp Files の正規エンドポイントを模倣する典型的な偽装手法です。Linux 用の未設定 meshagent バイナリも配置されており、コマンドライン引数で動的にパラメータを渡す運用形態であった可能性が示唆されます。

侵入後の偵察・横展開

Mandiant の分析によれば、侵入後の作業は MeshCentral CLI ツール meshctrl.js を介して実行されており、以下のような偵察コマンドが確認されています。

• PeopleSoft プロセススケジューラ設定ファイル psappsrv.cfg からのホスト名・IP アドレス抽出
• WebLogic XML 設定ファイル config.xml の参照（内部アプリケーションサーバーのマップ作成）
• /etc/hosts からの内部サブネット情報抽出
• マウントポイント・NFS 接続状況の確認

横展開は [victim_abbreviation]_fanout.sh という名称のシェルスクリプトで実装されており、攻撃対象組織の略称を含む命名規則が使われていました。スクリプトは以下を実行します。

• ローカル /etc/hosts から PeopleSoft 関連ホストを抽出
• ハードコードされた一般的な管理者ユーザー名・パスワードリストを用いた SSH credential spraying
• 成功した SSH セッションから、defacement・脅迫マーカーファイル README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT を WebLogic・Process Scheduler ディレクトリに配置

データ流出と DLS 連携

盗取データは zstd（圧縮率優先のロスレス圧縮）で圧縮された後、ステージングホストから SSH outbound 接続で 176.120.22.24 へ送信されています。同 IP は ShinyHunters DLS のクリアネット側公開ミラーをホストしており、2026年6月9日に被害組織のデータがDLS上に順次公開されました。

被害状況と高等教育セクター集中

Mandiant および GTIG は脆弱なエンドポイントに IP が紐づく100以上の組織に通知を実施し、その内訳は以下のとおりです。

• 地域：米国を中心とした世界各地
• 業種：68%が高等教育機関（大学・カレッジ等）
• 脆弱インスタンス数：ShinyHuntersは300以上のPeopleSoftインスタンスを侵害したと主張

BleepingComputer および SecurityWeek の報道によれば、英国ノッティンガム大学は2026年6月10日付の声明でインシデント発生を公式に確認し、現旧学生への通知を進めるとともに、英国情報コミッショナー事務局（ICO）および Action Fraud に通報したことを明らかにしています。ShinyHunters は同大学から40GB超の文書を窃取したと主張しており、英国・マレーシア・中国のキャンパスにまたがるデータが含まれるとされています。

Have I Been Pwned が公開された約10GBのデータを分析した結果、約45.5万件（454,600件、unique email address基準）の現旧学生情報が含まれており、その内訳にはメールアドレス、氏名、住所、電話番号、属性情報（民族・障害・国籍）、パスポート番号、国家保険番号、在籍・学費関連情報が含まれます。Mandiantからの通知後に対策を実施した組織と、対策が間に合わず DLS 公開に至った組織が併存しており、通知から公開までの対応速度が被害発覚の有無を左右した形です。

Mandiant 推奨の緩和策と検知ポイント

Mandiant の分析記事では、Oracle 公式アドバイザリと合わせて以下の対策が推奨されています。

ネットワーク分離と WAF ルール

• EMHub Service の無効化：Multi-Server 構成では Environment Management Hub サービスを無効化、Single-Server 構成では PSEMHUB アプリケーションを完全削除
• エンドポイント遮断：上記が困難な場合、ネットワークペリメータまたはファイアウォールで /PSEMHUB/*（特に /PSEMHUB/hub）および /PSIGW/HttpListeningConnector への外部アクセスを遮断
• WAFのボディ検査（body inspection）だけでは不十分：Mandiant は WAF のボディ検査ルールはバイパス可能と明示しており、エンドポイント自体のアクセス制限が必須
• 非破壊的対策：EMHub および Integration Broker Listening Connector は管理用・システム間連携用コンポーネントで、エンドユーザー向け PIA ブラウザセッションには必須ではないため、外部遮断は通常業務に影響を与えないとされます

ログ・エンドポイント監視

• アクセスログ監査：PIA WebLogic アクセスログで、外部・信頼されない IP からの POST /PSEMHUB/hub および POST /PSIGW/HttpListeningConnector を抽出
• SSRF 検知：/PSIGW/HttpListeningConnector へのリクエストで、127.0.0.1・localhost・::1・内部 IP レンジがヘッダーやパラメータに含まれていないか確認
• SMB outbound 監視：PeopleSoft ホストから外部宛の TCP port 445（SMB）トラフィックを監視。攻撃チェーンは Windows machine-account の NetNTLM ハッシュ捕捉のために外部宛接続を強要する場合あり

ホストレベルのフォレンジック

• WebShell 検出：<PS_CFG_HOME>/webserv/<domain>/applications/peoplesoft/PSEMHUB.war/ 配下に出荷時に存在しない .jsp ファイルがないか確認
• 不正ステージング：.../PSEMHUB.war/envmetadata/transactions/ ディレクトリ内の不正フォルダ・ファイル・バイナリ配置を確認
• 不審ディレクトリ：PSEMHUB パス配下の logs・persistantstorage・scratchpad といった不審ディレクトリの有無確認
• XMLDecoder 永続化：<docroot>/envmetadata/data/environment/ 配下の新規・更新 XML ファイルを確認。アプリケーション再起動時に XMLDecoder 経由でリモートコード実行に悪用される可能性あり

実務視点：4つの即時対応

本キャンペーンは Oracle 開示前から実環境で悪用されており、すでに被害が公開されている事案です。PeopleSoft 利用組織は以下の対応を即座に実施する必要があります。

第一に EMHub Service の無効化または PSEMHUB エンドポイントの外部遮断です。Mandiant は WAF のボディ検査ルールはバイパス可能と明示しており、ネットワークペリメータでのエンドポイント自体の遮断が必要となります。EMHub は管理用コンポーネントのため、外部遮断は通常業務に影響を与えないとされます。

第二に 侵害有無の調査です。Mandiant が公開した IoC（IP アドレス・ハッシュ値・ドメイン名・ファイル名）を用いて、PeopleSoft ホストおよび関連環境のフォレンジック調査が必要です。具体的には、WebLogic アクセスログでの POST /PSEMHUB/hub 監査、WebShell ファイル検出、defacement マーカー README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT の有無確認、176.120.22.24 や 142.11.200.186〜190 への通信ログ確認が初動対応となります。

第三に 横展開リスクの評価です。本攻撃は SSH credential spraying による横展開を含むため、PeopleSoft ホストから到達可能な他システムの侵害リスクも評価対象となります。特に、PeopleSoft 関連の共通管理者アカウントが他システムでも利用されている場合、認証情報のローテーションが急務です。

第四に データ流出有無の確認とインシデント開示準備です。Mandiantからの通知を受けた組織は、侵害有無とデータ流出の有無を早急に確認し、流出が確認された場合には、ShinyHunters DLS での公開や恐喝に発展する可能性も想定して、規制当局への報告・本人通知の準備を並行して進める必要があります。

ShinyHunters の手口と過去事案との連続性

ShinyHunters は近年、vishing（音声フィッシング）・盗取トークン・弱い認証制御を悪用して SaaS および教育プラットフォームからデータを窃取する手口を採用してきました。Salesforce 関連の過去事案や、教育機関を狙う一連のキャンペーンと攻撃手法・恐喝モデルが共通しています。今回の Oracle PeopleSoft ゼロデイ悪用は、同グループが既存の手口に加えて、エンタープライズ ERP の脆弱性を直接利用する技術的アップグレードです。

The Hacker News の報道では、ShinyHunters 自身が「古い脆弱性とゼロデイの gadget chain（ガジェットチェーン）」を用いて侵害したと主張しており、CVE-2026-35273 単独ではなく、複数の脆弱性連鎖が攻撃チェーンに組み込まれていた可能性があります。Oracle が公開した Security Alert は CVE-2026-35273 に焦点を当てていますが、PeopleSoft 利用組織は過去の Critical Patch Updates および Security Alerts の適用状況も並行して確認することが推奨されます。

まとめ

本件は、エンタープライズ ERP の管理用コンポーネントが外部から到達可能な状態で運用されることのリスクを改めて示した事案です。Environment Management Hub（PSEMHUB）は本来、管理者間・システム間の連携用エンドポイントであり、エンドユーザー向け業務には不要なコンポーネントです。Mandiant が「外部遮断は通常業務に影響を与えない」と明記している点を踏まえれば、運用設計の初期段階でアタックサーフェスを最小化する設計判断が改めて重要となります。

攻撃側のオペレーションは、MeshCentral・Let’s Encrypt・正規クラウドサービスのドメイン偽装（azurenetfiles.net）といった「正規エコシステム」を活用する成熟度の高さが特徴的です。検知側は、署名ベースのマルウェア検出ではなく、ネットワーク挙動・コマンド実行パターン・横展開トラフィックといった行動ベースの監視に重点を移す必要性が継続的に強まっています。

関連リソース：

• Oracle Security Alert Advisory CVE-2026-35273（公式）
• Mandiant / GTIG：ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit
• BleepingComputer：Oracle mitigates PeopleSoft zero-day exploited in data theft attacks
• The Hacker News：ShinyHunters Exploits Oracle PeopleSoft Zero-Day to Breach Universities
• The Register：ShinyHunters hacked 100+ orgs by exploiting an Oracle PeopleSoft 0-day
• BleepingComputer：Nottingham University data breach affects over 450,000 students
• Have I Been Pwned：University of Nottingham Data Breach
• VirusTotal GTI Collection（IoC）

slug: oracle-peoplesoft-cve-2026-35273-shinyhunters