概要
Oracle の業務アプリケーション基盤「PeopleSoft Enterprise PeopleTools」に、認証なしでリモートコード実行(RCE)が可能な重大脆弱性 CVE-2026-35273(CVSS スコア 9.8 / Critical)が発見されました。2026年5月下旬からゼロデイ攻撃が観測されており、ランサムウェアキャンペーンへの悪用も確認されています。Oracle は 2026年6月10日に定例外の緊急セキュリティアドバイザリを公開し、米 CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)も 6月12日に「悪用が確認された脆弱性カタログ(KEV)」へ追加しました。PeopleSoft を利用している組織は即時の対応が必要です。
目次
1. 何が起きたか
Oracle の業務アプリケーション基盤「PeopleSoft Enterprise PeopleTools」に対して、2026年5月下旬からゼロデイ攻撃が確認されていました。
この脆弱性に関する主な経緯は以下の通りです。
| 日時 | 出来事 |
|---|---|
| 2026年5月下旬 | PeopleSoft を狙ったゼロデイ攻撃が開始される |
| 2026年6月10日 | Oracle が定例外の緊急セキュリティアドバイザリを公開(CVE-2026-35273) |
| 2026年6月12日 | CISA が CVE-2026-35273 を KEV カタログへ追加。ランサムウェア攻撃への悪用を確認 |
| 2026年6月15日 | 米連邦機関への対応期限(CISA が設定) |
CISA は CVE-2026-35273 について、ランサムウェアの攻撃キャンペーンにも悪用されていると指摘しており、PeopleSoft は広く悪用されるおそれがあると警告しています。米国の連邦政府機関に対しては、2026年6月15日(本日)までに Oracle の緩和策または CISA のガイダンスに準じた対応を実施するよう義務付けました。
2. 技術的詳細:CVE-2026-35273 とは
| 項目 | 内容 |
|---|---|
| CVE 番号 | CVE-2026-35273 |
| 脆弱性の種類 | 重要機能に対する認証の欠如(Missing Authentication for Critical Function) |
| 影響コンポーネント | Updates Environment Management |
| 攻撃ベクター | ネットワーク経由(HTTP)、認証不要 |
| 深刻度 | Critical(クリティカル) |
| CVSS 3.1 スコア | 9.8 |
| CVSS ベクター | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 影響 | リモートコード実行(RCE)、システム完全乗っ取り |
| 発見者 | Bobby Gould、Lucas Miller、Minh Giang(TrendAI Zero Day Initiative) |
| Oracle アドバイザリ公開日 | 2026年6月10日(定例外・緊急) |
脆弱性の仕組み
CVE-2026-35273 は、PeopleSoft Enterprise PeopleTools の Updates Environment Management(アップデート管理)コンポーネント に存在する認証不備の脆弱性です。
この脆弱性の最大の危険性は、「認証なし」でネットワーク越しに悪用できる点にあります。攻撃者は有効なアカウントや認証情報を一切必要とせず、HTTP でアクセス可能な PeopleSoft 環境に対してリモートからコードを実行し、システムを完全に乗っ取ることができます。
Oracle の公式アドバイザリは次のように述べています。
「この脆弱性は認証なしでリモートから悪用可能であり、悪用に成功した場合はリモートコード実行につながります。」
— Oracle Security Alert Advisory, 2026年6月10日
CVSS スコアが 9.8 / Critical と最高水準に近く、攻撃複雑度(AC)が「Low」であることから、専門的なスキルがなくても比較的容易に悪用できる脆弱性です。
3. 影響範囲
対象製品・バージョン
| 製品 | 影響を受けるバージョン |
|---|---|
| PeopleSoft Enterprise PeopleTools | 8.61、8.62(サポート終了の旧バージョンも影響の可能性あり) |
| Oracle PeopleSoft Enterprise Applications | 上記 PeopleTools を利用する製品も影響の可能性あり |
注: Oracle は、サポートが終了した旧バージョンについても影響を受ける可能性があると警告しています。
影響を受ける可能性が高い環境
- インターネットや社内ネットワークから HTTP でアクセス可能な PeopleSoft 環境
- PeopleSoft Enterprise PeopleTools 8.61 または 8.62 を稼働中の組織
- Oracle PeopleSoft Enterprise Applications(ERP・人事管理・学務管理等)を利用中の組織
- PeopleSoft を長期間運用しており、パッチ適用サイクルが遅れている組織
特に注意が必要な業種
PeopleSoft は、大学・官公庁・大企業の人事管理・財務管理・学務管理システムとして広く利用されています。これらの組織が保有する個人情報・機密情報がランサムウェアの標的となるリスクが高まっています。
4. 推奨対応手順
【最優先】Oracle のアドバイザリを確認し、緩和策をただちに適用する
Oracle の公式アドバイザリを確認し、案内されている緩和策をただちに適用してください。
重要: Oracle はパッチ提供について明確に言及していません。アドバイザリに記載の「Patch Availability Document」を参照し、利用可能な緩和策または修正を確認してください。
【暫定対応】ネットワークレベルでのアクセス制限
緩和策の適用が困難な場合、以下のアクセス制限を暫定的に実施してください。
PeopleSoft の HTTP/HTTPS ポートへのアクセスを制限する
ファイアウォールや WAF(Web Application Firewall)で、信頼できる IP アドレスからのみアクセスを許可するインターネットへの直接公開を避ける
VPN やゼロトラストアクセス制御(ZTNA)経由でのアクセスに切り替えるUpdates Environment Management コンポーネントへのアクセスを最小化する
本コンポーネントへのアクセスが不要なユーザー・システムからの通信を遮断する
【侵害調査】5月下旬以降の侵害痕跡を確認する
5月下旬からゼロデイ攻撃が確認されているため、すでに侵害されている可能性を念頭に置いた調査が必要です。
- ログの確認: PeopleSoft のアクセスログ・エラーログを5月下旬以降の期間で確認する
- 異常な接続・認証失敗の調査: 外部からの不審なアクセス試行がないか確認する
- プロセス・ファイルの変化: 予期しないプロセスの起動やファイルの変更がないか確認する
- バックアップの確認: ランサムウェア感染に備え、バックアップが最新かつ整合性を持っていることを確認する
【継続監視】セキュリティ体制の強化
- CISA の KEV カタログを定期的に確認し、新たな脆弱性情報を収集する
- Oracle のセキュリティアラートメール配信に登録する
- エンドポイント保護(EDR/AV)製品のシグネチャを最新状態に更新する
5. まとめ・YJK からのコメント
CVE-2026-35273 は、「認証不要でネットワーク越しにシステムを完全乗っ取りできる」 という最悪レベルの脆弱性です(CVSS 9.8)。ゼロデイ攻撃が5月下旬から始まっており、すでにランサムウェアグループに悪用されているという事実は、被害組織がすでに存在する可能性を示唆しています。
CISA の KEV カタログへの追加は、「理論上の脅威」ではなく「実際に悪用されている脅威」であることの公式確認です。
PeopleSoft を利用している組織に対して、YJK は以下を強く推奨します:
- 今すぐ Oracle のアドバイザリを確認し、緩和策を適用する
- 5月下旬以降のアクセスログを遡って確認し、侵害の痕跡がないか調査する
- ネットワークレベルでの PeopleSoft へのアクセス制限を暫定措置として実施する
- 万が一の侵害に備え、バックアップの整合性を確認しておく
「自社には関係ない」と思われる方もいるかもしれませんが、PeopleSoft は大学・官公庁・大手製造業・金融機関など多くの組織で利用されています。自社または関連組織での利用有無を確認し、該当する場合は迅速に対応してください。
出典
- Oracle Security Alert: Oracle Security Alert Advisory – CVE-2026-35273(2026年6月10日)