大学狙うゼロデイ攻撃が拡大──オラクル製システムで100超の組織が被害

テクノロジー

サイバー犯罪集団「シャイニーハンターズ」が、米オラクルの業務システム「PeopleSoft(ピープルソフト)」の未修正の脆弱性(ゼロデイ)を悪用し、世界の100を超える組織に侵入していたことが分かった。被害は大学など教育機関に集中し、数十万人分の学生情報が流出したとみられる。専門家は、身代金を要求する恐喝目的の大規模攻撃だと警告している。

認証不要で乗っ取り可能な深刻な欠陥

悪用されたのは「CVE-2026-35273」と呼ばれる脆弱性で、認証なしでネットワーク経由でサーバーを乗っ取れる、危険度10段階中9.8の極めて深刻な欠陥だ。ログインもユーザー操作も不要で、HTTP通信でアクセスできれば攻撃が成立する。米セキュリティ企業マンディアントによると、攻撃活動は5月27日から6月9日にかけて観測され、脆弱な機器を持つ100超の組織に通知が出された。その68%が高等教育機関で、多くが米国内だった。

ノッティンガム大で約50万人分が流出

流出規模も大きい。最初に確認された被害者の一つである英ノッティンガム大学では、英国・マレーシア・中国の各キャンパスにまたがる現・元学生の約50万人分、40ギガバイト超のデータが公開された。氏名や住所、電話番号のほか、パスポート番号や人種、障害の有無といった機微な情報も含まれていたとされる。

シャイニーハンターズは今回の攻撃で4200万件超の記録を入手したと主張しているが、漏洩確認サービス「Have I Been Pwned」が独自に検証できたのは約490万件のメールアドレスにとどまる。いずれにせよ、単一の脆弱性を突いた攻撃としては極めて広範囲に及んでおり、組織は速やかな修正プログラム(パッチ)の適用を迫られている。

日本への影響

オラクルのPeopleSoftは、人事や給与、学生管理の基幹システムとして日本の大学や企業でも広く使われています。今回の攻撃は海外が中心とみられますが、同じ脆弱性を抱えたシステムを国内で運用している組織があれば、同様の被害を受けるおそれがあります。情報システム部門は、CVE-2026-35273に対応するパッチの適用状況を早急に確認し、外部からアクセスできる設定になっていないかを点検することが求められます。

個人にとっても、大学や取引先を経由して自分の情報が流出するリスクは他人事ではありません。留学経験者や海外大学との関わりがある人は、身に覚えのないメールやパスワード変更の通知に注意し、使い回しているパスワードがあれば速やかに変更しておくことが安全につながります。基幹システムを狙う攻撃は日本でも増えており、組織・個人の双方で「まず疑う」姿勢が重要になっています。

まとめ:一つの見過ごされた脆弱性が数十万人の情報を危険にさらす時代だからこそ、パッチ適用という基本の徹底が問われているのではないでしょうか。


出典:
The Hacker News – ShinyHunters Exploits Oracle PeopleSoft Zero-Day
Google Cloud – ShinyHunters Targets Education Sector
Cybersecurity Dive – ShinyHunters linked to Oracle PeopleSoft flaw

Photo: Abdul Kayum / Unsplash

タイトルとURLをコピーしました