何が起きたか: Oracle PeopleSoft Enterprise PeopleTools に、未認証で遠隔からコード実行(RCE)が可能な深刻な脆弱性 CVE-2026-35273(CVSS 3.1 で 9.8)が見つかりました。誰に影響するか: PeopleTools 8.61 / 8.62 を使う組織(人事・給与・財務などのERP基盤)。今すぐ何をすべきか: 2026年6月10日にOracleが公開した緊急パッチを適用し、5月下旬以降の侵害有無を調査してください。本脆弱性はパッチ公開の前から実際に攻撃に使われていた(ゼロデイ)点が最大の注意点です。
この記事でわかること
- CVE-2026-35273 の正体(未認証SSRF→RCE)と深刻度
- 影響を受けるバージョンと、攻撃の発生時期・攻撃者
- 情シスが今すぐ確認すべき侵害指標(IOC)と緩和策の方向性
- 公的機関の一次情報への入口
CVE-2026-35273とは何か
CVE-2026-35273 とは、Oracle PeopleSoft Enterprise PeopleTools の「Updates Environment Management」コンポーネントに存在する、認証不要・遠隔からHTTP経由で悪用できるリモートコード実行の脆弱性です。Oracleの評価ではCVSS 3.1 基本値が 9.8 と、最高レベルに近い深刻度です。
技術的には、サーバが内部リソースへ任意のリクエストを行わされるSSRF(サーバサイドリクエストフォージェリ)が起点となり、最終的にコード実行へつながる連鎖だと報告されています。利用者の操作(クリック等)も認証も不要なため、インターネットに露出した環境管理ハブを起点に外部から直接突かれる構図です。
どのバージョンが影響を受けるのか
Oracleのセキュリティアラートによると、影響を受けるのは以下です。PeopleSoft Enterprise Applications を利用する顧客も間接的に影響を受ける可能性があるとされています。
| 項目 | 内容 |
|---|---|
| 製品 | Oracle PeopleSoft Enterprise PeopleTools |
| 影響バージョン | 8.61 / 8.62 |
| 問題のコンポーネント | Updates Environment Management(環境管理ハブ PSEMHUB 等) |
| CVSS 3.1 | 9.8(未認証・遠隔・RCE) |
| Oracleの対応 | 2026年6月10日に定例外(out-of-band)のアラート+パッチを公開 |
なぜ「ゼロデイ」なのか — 攻撃は公表前から始まっていた
本件で情シスが最も重く受け止めるべきは、パッチ公開より前にすでに悪用されていた点です。Mandiant(Google傘下)の報告によると、実際の悪用は現地時間2026年5月27日〜6月9日に観測されており、Oracleのアラート(6月10日)に約2週間先行していました。つまり「パッチが出てから対応すれば安全」では間に合わなかったケースです。
攻撃キャンペーンは、金銭目的のサイバー犯罪集団 UNC6240(通称 ShinyHunters)に紐づけられています。データ窃取と恐喝を得意とするグループで、報道ベースでは100を超える組織が通知を受け、そのうち約68%が米国の大学などの高等教育機関だったとされています。この「高等教育に偏った被害」という点は現時点で報じられている傾向であり、日本国内の被害状況については公開情報が限定的です。自社が対象外と断ずる根拠にはせず、まずは自環境の確認を優先してください。
侵害の手がかり(IOC)— 何を探せばよいか
各社の分析レポートでは、調査の起点となる侵害指標がいくつか共有されています。あくまで報告された一例であり、これらが無い=安全とは限りませんが、ログ調査の入口になります。
- 環境管理ハブへの不審なアクセス:
/PSEMHUB/*や/PSIGW/HttpListeningConnectorエンドポイントへの外部からのアクセス。 - 正規サービスを装った遠隔管理ツール: 「Windows MeshCentral」エージェント(例:
meshagent64-azure-ops.exe)の検出。正規クラウドサービスを装う命名が報告されています。 - C2・通信先: ドメイン
azurenetfiles[.]net、IPアドレス帯142.11.200[.]186〜190など。 - 外向きSMB通信: アウトバウンドの TCP 445 の監視。
情シスは今すぐ何を確認すべきか
答えは「パッチ適用」と「5月下旬以降のログ精査」の二本立てです。具体的には、(1) 6月10日公開のパッチ適用、(2) 環境管理ハブ(EMHub/PSEMHUB)の必要性を見直し、不要なら無効化、(3) /PSEMHUB/* と /PSIGW/HttpListeningConnector への外部アクセス遮断、(4) 上記IOCを用いた5月27日以降のログ・プロセス・通信の確認——という流れです。実際の適用可否や手順は必ずOracleの公式アラートに従ってください。
現場目線の所感
ERPやPeopleSoftのような基幹システムは「止められない」「アップデートのたびに業務影響の確認が要る」という事情から、パッチ適用が後回しになりがちです。さらにPSEMHUBのような管理用コンポーネントは、運用上必要だからと外部到達可能なまま放置されていることが少なくありません。今回はまさにその「管理機能の露出」を突かれた形で、平時から「業務に直接見えない管理エンドポイントが、いつの間にか外から触れる状態になっていないか」を棚卸しする重要性を突きつけられたと感じます。
また「パッチ公開=対応開始」という運用では、ゼロデイには構造的に間に合いません。重要システムほど、攻撃面(インターネット露出)を平時から絞り込み、異常検知のログを残しておく——この地道な備えが、結局は事後調査のスピードを左右します。限られた人員で基幹系まで目を配るのは容易ではありませんが、「露出の最小化」と「ログの確保」は費用対効果の高い一手です。
対策の進め方 — まずは公的機関の一次情報へ
個別手順を自前で並べるより、まずは一次情報に当たるのが確実です。本脆弱性はOracleの公式アラートが起点になります。あわせて、インシデント対応の体制づくりや机上演習には公的機関の教材が役立ちます。
- Oracle 公式アラート(CVE-2026-35273): https://www.oracle.com/security-alerts/alert-cve-2026-35273.html
- IPA「セキュリティインシデント対応 机上演習教材」: https://www.ipa.go.jp/security/sec-tools/ttx.html
- IPA「中小企業の情報セキュリティ対策ガイドライン」: https://www.ipa.go.jp/security/guide/sme/index.html
- JPCERT/CC(注意喚起・インシデント報告窓口): https://www.jpcert.or.jp/
恒久的には、攻撃が「正規の遠隔管理ツールを装う」手口だった点も踏まえ、利用者・運用担当への啓発(不審なエージェントやプロセスを見つけたら止める判断ができること)も並行して進めたいところです。
まとめ
- CVE-2026-35273 は PeopleSoft PeopleTools 8.61/8.62 の未認証RCE(CVSS 9.8)。6月10日公開のパッチを最優先で適用する。
- パッチ公開前(5月27日〜6月9日)からゼロデイ悪用済み。ShinyHunters によるデータ窃取が報告され、5月下旬以降の侵害確認が必須。
- PSEMHUB/PSIGW の外部露出を見直し、MeshCentralエージェントや既知のC2への通信などIOCをログで確認する。
出典
- Oracle Security Alert Advisory – CVE-2026-35273: https://www.oracle.com/security-alerts/alert-cve-2026-35273.html
- Rapid7「Active Exploitation of Oracle PeopleSoft Zero-Day (CVE-2026-35273)」: https://www.rapid7.com/blog/post/etr-active-exploitation-of-oracle-peoplesoft-zero-day-cve-2026-35273/
- SecurityWeek「Oracle Addresses PeopleSoft Vulnerability Amid Reports of Zero-Day Attacks」: https://www.securityweek.com/oracle-addresses-peoplesoft-vulnerability-amid-reports-of-zero-day-attacks/
- Security NEXT(日本語報道): https://www.security-next.com/185824
