エンタープライズ システムは通常、大規模な障害が発生する前に、静かに障害を起こします。
PeopleSoft は、何年も前から存在しているため、多くのチームが毎日注目するのをやめている種類のシステムです。人事記録、給与計算ワークフロー、学生記録、財務ワークフロー、ID パス、調達データ、統合、および運用履歴が保持されます。組織はプロセスに依存しているため、安定していると感じられるプロセスの背後にあります。
その安定性により露出を隠すことができます。
2026 年 6 月、Hacker News は、ShinyHunters が Oracle PeopleSoft ゼロデイを悪用して大学に侵入したと報告しました。 Google Cloud の Mandiant チームは、Oracle が勧告を公開する前に、この活動は教育部門をターゲットにしており、Oracle PeopleSoft 環境の悪用に関与していたと報告しました。オラクルは、2026 年 6 月 10 日に CVE-2026-35273 に対するセキュリティ アラートを発行しました。
この記事では、公開レポートとベンダーのガイダンスを使用します。これには、被害者の環境に関するプライベートな情報は含まれません。
教訓は明らかです。従来のエンタープライズ プラットフォームには、アクティブなセキュリティ レビュー、到達可能な表面のテスト、パッチの検証、および証拠が必要です。給与計算や学生記録を実行するシステムをバックグラウンド インフラストラクチャとして扱うことはできません。
公的報道が語ること
オラクルは、CVE-2026-35273 を Oracle PeopleSoft Enterprise PeopleTools のコンポーネント更新環境管理の脆弱性として説明しました。 Oracleは、サポートされているバージョン8.61と8.62が影響を受けると述べた。オラクルはまた、この脆弱性は認証なしでリモートから悪用可能であり、リモートでコードが実行される可能性があると述べた。
Rapid7 は、この問題を CVSS スコア 9.8 の未認証の SSRF-to-RCE に対する重大な脆弱性として要約しました。 Rapid7はまた、MandiantがOracleの6月10日の勧告以前の2026年5月27日から6月9日まで悪用を観察していたことにも言及した。
Google CloudのMandiantチームは、この活動がShinyHuntersと重複していると中程度の自信を持って評価したと述べた。マンディアント社は、潜在的に脆弱なPeopleSoftエンドポイントにIPアドレスが関連付けられている100以上の世界的組織に通知したと述べた。公的報告書によると、通知を受けた組織の大部分は高等教育機関であった。
Hacker News は、影響を受けた組織の中に大学も含まれていると報じた。他の報告では、恐喝メールやデータ盗難の申し立てが報告されています。犯罪グループからの申し立てには注意が必要です。正確なもの、膨張したもの、圧力を生み出すように設計されたものなどがあります。防御的な答えは変わりません。暴露を検証し、ログを保存し、パッチを適用し、追跡し、閉鎖を証明します。
エントリーパスの重要性
CVE-2026-35273 の重要な部分は、パスの形状です。リモート攻撃者は、脆弱な状態に到達できる場合、通常のユーザー認証情報を必要としませんでした。オラクルは、認証なしのリモート悪用について説明しました。これにより、この問題はビジネスリスクが最も高いカテゴリーに分類されます。
PeopleSoft 環境には、多くの場合、ポータル、統合、サービス エンドポイント、管理ワークフロー用のインターネットに接続されたコンポーネントが含まれています。大規模な組織では、同じプラットフォームで人事、学生システム、財務、アイデンティティ、メッセージング、レポートを接続できます。単一のリモート コード実行パスにより、攻撃者は価値の高いシステム内で最初の地位を得ることができます。
公開されている技術概要では、PeopleTools の更新環境管理と、サーバー侵害につながる可能性のある未認証のパスが指摘されています。一部のセキュリティ調査では、公開された PeopleSoft エンドポイントを介した SSRF チェーンが説明されています。対応者にとってはエクスプロイトの正確な詳細が重要ですが、リーダーシップにはより大きな真実が必要です。それは、到達可能な PeopleSoft の表面が組織の機密データへのルートになる可能性があるということです。
そのため、パッチ管理はビジネス管理の問題に変わります。
被害はどのようなものになるか
公開された報告書では、明確な普遍的な被害数は示されていません。それは正常です。 ERP や高等教育機関でのインシデントでは、最初の数週間で単純な数字が得られることはほとんどありません。実際の被害はさまざまな経路を通じて発生します。
データ漏洩が最初のリスクです。 PeopleSoft の展開では、従業員データ、学生データ、給与データ、福利厚生データ、住所、識別レコード、役割の割り当て、および内部ワークフロー レコードを保持できます。各機関は独自の構成を持っているため、防御者は範囲内の実際のデータクラスを検証する必要があります。
2 番目のリスクは業務の中断です。攻撃者がサーバー レベルのアクセスを取得すると、認証、ビジネス ワークフロー、レポート、統合、またはジョブ処理が中断される可能性があります。給与計算、登録、調達、財務に関する短時間の停止でも、組織全体に圧力がかかる可能性があります。
恐喝は 3 番目のリスクです。攻撃者は、部分的なデータ サンプル、スクリーンショット、内部名、期限を使用して、支払いや注意を強制することがよくあります。企業は、外部からの圧力がいつ始まるかをまだ調査している可能性があります。
規制と通知の作業が 4 番目のリスクです。従業員、学生、顧客、または財務記録が関与する可能性がある場合、法務チームは証拠を必要とします。タイムライン、影響を受けるシステム、データクラス、ログ、封じ込め手順、修復の証拠が必要です。
購入者とパートナーの懸念が 5 番目のリスクです。顧客のためにエンタープライズ システムを実行したり、規制されたデータを処理したり、大規模パートナーをサポートしたりする企業は、疑問に直面するでしょう。脆弱なバージョンは存在しましたか?インターネットにアクセスできましたか?パッチは当てられましたか?悪用はチェックされましたか?ログは保存されていましたか?下流システムは影響を受けましたか?
システム所有者は、レビューに耐えられる回答を必要としています。
古いエンタープライズ プラットフォームが公開されたままになる理由
エンタープライズ アプリケーションは多くの場合、寿命が長くなります。 PeopleSoft の導入は、リーダーシップの変更、ベンダーの変更、ネットワークの再設計、クラウドの移行、および長年にわたるプロジェクトのバックログにも耐えることができます。それは危険なパターンを生み出します。
組織はプラットフォームが重要であることを認識しています。組織も触りにくいものとして扱っています。
パッチ適用にはテストが必要です。テストには所有者が必要です。オーナーにはビジネス窓口が必要です。ビジネス窓口はほとんどありません。統合は古い動作に依存します。一部のエンドポイントは、誰も覚えていない理由で公開されました。ドキュメントが不完全です。最初にシステムを導入したチームは消滅しました。
攻撃者はそのギャップを好みます。
到達可能なエンドポイントをスキャンします。彼らは勧告を監視しています。これらは、悪用と修復の間の期間中に移動します。彼らは迅速な証拠を欠いている機関に圧力をかけます。
セキュリティ リーダーは、古いエンタープライズ システムを管理対象サーフェスに変える必要があります。これは、インベントリ、バージョンの明確性、エンドポイントのエクスポージャーのレビュー、パッチのリハーサル、外部検証、ログの保持、プラットフォーム固有のインシデント プレイブックを意味します。
PeopleSoft オーナー全員が答えるべき難しい質問
最初の質問は到達可能性です。インターネット、パートナー ネットワーク、VPN ネットワーク、および内部ユーザー ネットワークから到達可能な PeopleSoft エンドポイントはどれですか?ロード バランサー、リバース プロキシ、WAF、またはクラウド エッジを通じて公開されるのはどれですか?
2 番目の質問は、バージョンの明確さです。 PeopleTools のどのバージョンが、本番、ステージング、ディザスタ リカバリ、および忘れられたクローン全体でアクティブになっていますか?サポートされていないバージョンでは、セキュリティ ガイダンスがサポートされているベースラインを前提としている可能性があるため、別の問題が発生します。
3 番目の質問は、コンポーネントの暴露です。更新環境管理、統合ブローカー、管理ハブ、またはレガシー コネクタは、SSRF、管理、またはコード実行のリスクを生み出す方法で公開されていますか?
4 番目の質問はログの深さです。チームは、悪用の疑いのあるウィンドウから Web アクセス ログ、アプリケーション ログ、リバース プロキシ ログ、EDR、プロセス実行、送信接続、データベース アクセス、ID イベントを確認できますか?
5 番目の質問は封じ込めです。侵害が疑われる場合、チームは給与や運用に影響を与えることなく、影響を受ける層の隔離、資格情報のローテーション、サービス アカウントの確認、スケジュールされたジョブの確認、ファイルの整合性の検証、送信トラフィックの検査を行うことができますか?
6番目の質問は証明です。パッチ適用後、チームは脆弱なルートが閉じられていることを示すことができますか?パッチ レベル、テストされたエンドポイント、ログ レビュー、資格情報のローテーション、ビジネスの承認を表示できますか?
これらの質問は恐怖を動きに変えます。
回答者が見るべき場所
ERP インシデント対応には、通常の Web アプリケーションのレビューよりも幅広いレンズが必要です。 PeopleSoft 層には、Web サーバー、アプリケーション サーバー、プロセス スケジューラ、データベース接続、ファイル転送パス、バッチ ジョブ、ID 統合、およびレポート ツールが含まれる場合があります。攻撃者は 1 つの層にアクセスした後、通常の管理パスを通過する可能性があります。
エッジログから始めます。影響を受ける PeopleSoft エンドポイントのリバース プロキシ ログ、WAF ログ、ロード バランサ ログ、VPN ログ、および Web アクセス ログを確認します。異常なリクエスト パターン、まれなパス、予期しないメソッド、不審なユーザー エージェント、ソース IP のシフト、および高エラーのプローブを探します。
アプリケーションアクティビティに移動します。 PeopleSoft ログを確認して、異常なコンポーネント アクセス、更新環境管理に関するエラー、予期しない管理アクティビティ、変更された構成ファイル、および異常なプロセス スケジューラの動作を確認します。
ホストを検査します。ファイルの変更、新しく作成されたスクリプト、Web でアクセス可能なアーティファクト、コマンドの実行、アーカイブ ツール、アウトバウンド転送ツール、サービスの変更、スケジュールされたジョブ、新しいローカル アカウント、およびアプリケーション スタックからの異常な子プロセスを確認します。
ID パスを確認します。 PeopleSoft が LDAP、Active Directory、SSO、SAML、データベース アカウント、またはサービス アカウントと通信する場合は、それらのパスを確認する必要がある可能性があると想定してください。サーバーが侵害されると、接続文字列、キャッシュされた認証情報、キーマテリアル、統合シークレットが漏洩する可能性があります。
データベースは慎重に確認してください。異常な読み取り、大規模なエクスポート、新しいデータベース ユーザー、変更された許可、大量のクエリ、通常のジョブ以外のアクセスを探します。 DBA チームと調整して、クリーンアップ前に証拠が保存されるようにします。
これらのステップにより、記録的なリーダーシップのニーズが生まれます。また、パッチの前に侵入した侵入者を見逃しながらソフトウェアにパッチを適用するという、よくある失敗も防止します。
セグメンテーションが爆発範囲を決定する
同じ脆弱性が 2 つの組織でまったく異なる結果を引き起こす可能性があります。
ある環境では、PeopleSoft サーバーはデータベースと必要なサービスの少数のセットにのみアクセスします。管理アクセスは制限されています。送信インターネット トラフィックは制御されます。サービス アカウントにはスコープが設定されています。ログは保持されます。バックアップは別です。妥協は依然として痛みを伴いますが、爆発範囲は抑えられます。
別の環境では、PeopleSoft 層は広範な内部ネットワーク、古いファイル共有、ドメイン コントローラー、バックアップ コンソール、レポート サーバー、および管理ツールに到達できます。サービス アカウントには幅広い権限があります。アウトバウンドトラフィックはオープンです。ログはすぐに期限切れになります。最初の足掛かりが企業インシデントになる可能性があります。
セグメンテーションは表面的なものではありません。それは、アプリケーションのインシデントと組織の危機の違いです。
エンタープライズ プラットフォームの場合、StOFU は両方向の到達可能性を検討します。プラットフォームに到達できるものは何でしょうか?侵害された後、プラットフォームはどこまで到達できるのでしょうか? 2 番目の質問によって、多くの場合、真のビジネス リスクが明らかになります。
ERPレビュー後の証拠パッケージ
強力な証拠パッケージは、リーダーにとって十分シンプルであり、セキュリティレビューにとって十分詳細である必要があります。
これには、影響を受ける製品とバージョン、インターネットで到達可能なエンドポイント、パッチまたはアップグレードの記録、緩和手順、ログの確認、悪用インジケータのチェック、認証情報のローテーション、影響を受ける層から到達可能な内部システム、セグメンテーションの変更、再テストの結果、および残りのリスクが含まれる必要があります。
決定境界も含める必要があります。ステージング クローンが範囲外の場合は、その旨を伝えます。ログがウィンドウ全体をカバーしていない場合は、その旨を伝えます。 1 つの統合で今後の修正が必要な場合は、その旨を伝えてください。明確な境界線は過剰請求を防ぐため、会社を保護します。
ここで、法的な安全性と技術的な明確さが融合します。企業は、劇的な発言や曖昧な慰めを避けるべきです。事実を示さなければなりません。
SToFU はこのクラスのリスクとどのように戦うか
SToFU は、エンタープライズ アプリケーションのリスクを完全な輪郭としてアプローチします。アプリケーション自体が重要です。公開されたエンドポイント、ID パス、統合、クラウドおよびネットワーク ルート、サービス アカウント、データベース接続、運用リカバリも同様です。
PeopleSoft のようなプラットフォームの場合、私たちの仕事には以下が含まれます。
- ポータル、ゲートウェイ、管理エンドポイント、統合ルートの外部露出マッピング。
- ベンダー アドバイザリおよび悪用された既知の脆弱性リストに照らして、バージョンとコンポーネントをレビューします。
- 認可され、適切な場合には、安全な悪用可能性の検証。
- Web、アプリケーション、ID、EDR、ネットワーク、データベースの各レイヤーにわたるログ レビューの計画。
- 暴露の疑いがある場合の資格情報とサービス アカウントの確認。
- ERP、人事、財務、学生、およびレポート システムのセグメンテーション レビュー。
- パッチ適用、ルーティング変更、エンドポイント制限、監視の修復サポート。
- 経営陣、監査人、保険会社、パートナー、調達チーム向けの再テストと証拠のパッケージ化。
出力は脆弱性名で終わらないため便利です。組織が暴露されたかどうか、その道は閉ざされているかどうか、そしてその答えを裏付ける証拠は何かを示します。
レビューされた輪郭が十分にきれいであれば、StOFU Security Certification はそのクロージャを、指定されたスコープ、レビュー日、修復状態、および有効期間を備えた証明書に変換できます。この証明書は、機密性の高い操作を処理するプラットフォームがレビュー済みであることの証明を購入者が要求した場合に役立ちます。
認定資格がカバーすべき内容
ERP 輪郭の場合、認証は正確である必要があります。有用な範囲には、PeopleSoft インターネットの公開、PeopleTools のバージョン状態、影響を受けるコンポーネント、ゲートウェイ パス、統合ブローカーの公開、サービス アカウント、データベース アクセス、セグメンテーション、ログ保持、バックアップの到達可能性、および再テストの証拠が含まれる場合があります。
証明書には、重大な変更のトリガーについても記載する必要があります。新しいインターネットに接続されたエンドポイント、バージョン アップグレード、大規模な統合、クラウド移行、または新しい ID プロバイダー接続によって、その輪郭が変わる可能性があります。レビューは、それらのトリガーを書き留めておくと役立ちます。
投資家や顧客の注意にとって、これは重要です。購入者は、組織がパッチを適用する以上のことを行っていることがわかります。機密性の高い操作を実行するシステムをレビューし、閉鎖を検証し、証拠を保存しました。
この証明書により、社内チームに共通言語も与えられます。セキュリティは発見と修正を示すことができます。 IT 部門はバージョンとエンドポイントを指定できます。法的範囲を指定できます。リーダーは古いレビューを指摘することがあります。営業担当は、エンジニアをすべてのアンケートに参加させなくても、購入者に回答できます。
この調整は、穏やかな週やプレッシャーのかかる時期に価値を発揮します。これにより、市場が明確な答えを待っている間、組織が事件の意味について議論することがなくなります。
公開された ERP システムの対応チェックリスト
Oracle のガイダンスから始めます。影響を受けるサポートされているバージョンにセキュリティ更新プログラムと軽減策の手順を適用します。導入でサポートされていないバージョンが実行されている場合は、緊急のアップグレード パスを構築します。
露出を減らします。管理コンポーネントからインターネットへの到達可能性を削除します。ゲートウェイへのアクセスを制限します。機密性の高いエンドポイントを厳密に制御されたパスの背後に配置します。
ログを保存します。 Web ログ、プロキシ ログ、アプリケーション ログ、EDR データ、ファイアウォール ログ、ID ログ、データベース ログ、送信ネットワーク テレメトリをキャプチャします。公的報告は勧告前の活動を指すため、該当する場合、レビュー期間には 2026 年 5 月下旬から 6 月上旬までを含める必要があります。
処刑を目指して狩りをする。不審なプロセスの作成、新しいファイル、予期しないスケジュールされたジョブ、送信接続、リモート管理ツール、Web シェル、資格情報へのアクセス、異常なデータベース読み取りを確認します。
公開された資格情報をローテーションします。サーバーの侵害が考えられる場合は、サービス アカウント、統合シークレット、管理者の資格情報、データベースの資格情報、および影響を受ける層から到達可能なキーをローテーションします。
修正を検証します。パッチチケットのみに依存しないでください。バージョンを確認してください。エンドポイントの応答が変更されたことを確認します。エクスプロイト パスが失敗することを確認します。モニタリングがアクティブであることを確認します。
ビジネス上の回答を準備します。法務、経営陣、顧客、パートナーは、何が影響を受けたのか、何が到達可能であったのか、何がチェックされたのか、何が修正されたのか、どのような証拠が存在するのかなど、明確な言語を必要としています。
買い手のシグナル
ERP セキュリティは現在、営業およびリーダーシップの問題です。企業の中核となるエンタープライズ システムが最新であり、監視され、セグメント化されていることを証明できない場合、企業は数週間にわたって勢いを失う可能性があります。
Oracle PeopleSoft の事例は、古い前提がいかに急速にアクティブなリスクになるかを示しています。安定しているように見えるシステムでも、到達可能な未認証のコード実行パスが存在する可能性があります。露光が続いている間、パッチが存在する可能性があります。顧客は妥協がなかったことを証明する必要がある間に、ベンダーの勧告によってソフトウェアの問題を解決できます。
最後の証拠は、多くの組織がスピードを失っていることです。
StOFU は、チームが助言から証拠に移行するのに役立ちます。輪郭を見直します。パスを閉じます。修正を確認します。記録を残してください。システムの準備ができたら結果を認証します。
それが、真剣な企業が業務を保護し、前進し続ける方法です。
情報源
- The Hacker News: ShinyHunters Exploits Oracle PeopleSoft Zero-Day to Breach Universities
- Oracle: Security Alert Advisory - CVE-2026-35273
- Google Cloud: ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit
- Rapid7: Active Exploitation of Oracle PeopleSoft Zero-Day CVE-2026-35273
- Horizon3.ai: CVE-2026-35273 Oracle PeopleSoft PeopleTools Unauthenticated Remote Code Execution Vulnerability
