Oracleの人事給与システムPeopleSoftに緊急脆弱性、ログインなしでサーバー乗っ取りの恐れ CVE-2026-35273、定例外パッチを今すぐ
Oracleが、大企業や大学・官公庁の人事給与システムPeopleSoftの脆弱性CVE-2026-35273(CVSS 9.8)に緊急パッチを公開。ログインなしでネットワーク越しにサーバーを乗っ取られ、全従業員・全学生の個人情報や給与・口座が一度に盗まれる恐れがある。四半期の定例を待たない異例の対応で、対象のPeopleTools 8.61・8.62は今すぐ適用を。
堀川 慎
Backend Engineer / AWS / Django / Go
Oracleが、大企業や大学・官公庁の人事給与システムPeopleSoftの脆弱性CVE-2026-35273(CVSS 9.8)に緊急パッチを公開。ログインなしでネットワーク越しにサーバーを乗っ取られ、全従業員・全学生の個人情報や給与・口座が一度に盗まれる恐れがある。四半期の定例を待たない異例の対応で、対象のPeopleTools 8.61・8.62は今すぐ適用を。
Oracleが、大企業や大学・官公庁の人事・給与システムとして広く使われる「PeopleSoft」に、ログインなしでサーバーを丸ごと乗っ取られる脆弱性があると公表し、四半期の定例パッチを待たずに緊急の修正を出しました。番号は CVE-2026-35273、深刻度は最高クラスの CVSS 9.8(Critical) です。認証も利用者の操作も不要で、ネットワーク越しにそのまま遠隔操作(コード実行)まで到達します。
Oracleは通常、脆弱性の修正を四半期に一度の「定例パッチ(Critical Patch Update、次回は2026年7月)」でまとめて配布します。今回はそれを待たず、2026年6月10日付で単独の緊急アラート(Security Alert)として公開しました。Oracleが定例外でアラートを出すのは異例で、それ自体がこの欠陥の危険度を物語っています。Oracle自身も「即時の対応を強く推奨する」と異例の表現で呼びかけています。
さらに見過ごせないのが、ほぼ同じタイミングで 攻撃グループ「ShinyHunters」がPeopleSoftサーバーから大量のデータを盗み出しているとの報道 が出ている点です。100を超える組織、300規模のシステムが標的とされ、大学・教育機関が中心と報じられています。この攻撃が今回のCVE-2026-35273を使ったものだと公式に名指しした情報はまだありませんが、緊急アラートと攻撃報道が重なった事実は重く、対象システムを持つ組織は今すぐパッチを当てるべき状況です。
PeopleSoftとは何か、乗っ取られると何が危ういのか
PeopleSoft(ピープルソフト) は、Oracleが2005年に買収した大規模な業務システム(ERP)です。人事、給与、勤怠、財務・会計、調達、大学向けの学務管理(Campus Solutions)などを一つの基盤でまとめて扱い、大企業・大学・政府機関が組織の根幹データを預ける土台として使っています。国内でも トヨタ自動車が人事・給与システムにPeopleSoftを採用した事例 が知られているなど、日本の大手企業や大学でも稼働しています。
ここで効いてくるのが、「PeopleSoftは組織でもっとも秘匿性の高いデータが集まる場所だ」という点です。全従業員・全学生の氏名、住所、給与額、銀行口座、評価、社会保障に関わる情報が一カ所に集約されています。その基盤を乗っ取られれば、攻撃者はこれらを丸ごと読み出せるうえ、サーバー上で自由にプログラムを動かせるため、データの書き換え、別システムへの足がかり、ランサムウェアの展開まで一気につながります。守りの言葉でいえば、情報を盗む(機密性)・書き換える(完全性)・止める(可用性)のすべてが同時に崩れる、最悪の組み合わせです。
今回の脆弱性が特に重いのは、その乗っ取りに 正規のIDもパスワードも要らない 点です。インターネットから到達できる場所にPeopleSoftの該当機能を公開していれば、認証画面の手前から侵入されます。過去の調査では、インターネットに直接公開されたPeopleSoftが世界で500件以上見つかり、その多くが大学だった と報告されており、攻撃者にとって狙いやすい標的が一定数存在することがわかっています。
あなたの組織は対象か、バージョンで見分ける
Oracleのアラートが対象として挙げているのは、PeopleSoftの土台ソフト「PeopleTools」の特定バージョンです。PeopleTools上で動くPeopleSoftアプリケーション(HCM=人事、Financials=財務、Campus Solutions=学務など)を使っている組織は、土台のバージョン次第で影響を受けます。
| PeopleTools のバージョン | このCVEの対象 | 対応 |
|---|---|---|
| 8.62 | 対象(脆弱) | 至急パッチ適用 |
| 8.61 | 対象(脆弱) | 至急パッチ適用 |
| 8.60 以前 | 公式の対象一覧に記載なし (サポート状況の確認を) | サポート対象版への移行を推奨 |
問題があるのは「Updates Environment Management」というコンポーネントです。これはPeopleSoftの環境管理・パッチ配信を担う「Environment Management Framework(環境管理の仕組み)」に対応すると見られ、Webサーバー上で動く部品であるため外部から到達されやすい性質があります。自組織のPeopleToolsのバージョンと、該当機能をどこまで外部に公開しているかを、まず棚卸ししてください。
この穴を最初に踏みにくるのは誰で、何を持ち去るのか
Oracleが四半期の定例を待たずに単独でパッチを出すのは異例で、それ自体が「悠長に構えていられない穴」だというサインです。攻撃者の側から何が起きるかを具体的に見ておきます。前提条件は驚くほど軽く、該当機能にネットワークから一通のリクエストを届けられること、ただそれだけです。
狙ってくるのは、漠然としたハッカーではありません。盗んだデータで身代金を要求する恐喝集団(実際にPeopleSoftを狙う「ShinyHunters」が報じられています)、侵入経路を企業に高値で売りさばく初期アクセスブローカー、大学や企業の人事情報そのものを商品として欲しがる者たちです。彼らが取りに来るのは、全従業員・全学生の氏名と住所、給与額、銀行口座、人事評価、社会保障に関わる番号、そして財務システムへの入口です。認証画面の手前から、このコンポーネントへ一通のHTTPリクエストが通った瞬間、その人事サーバーは中身もろとも相手の手に渡ります。
技術的に見ると、これは正規利用者を装う必要すらない「認証前」の侵入で、しかも侵入後はサーバー上で任意のプログラムを動かせます。つまり、最初の一歩がそのまま組織内部への足がかりになり、そこから別のシステムへ横移動し、最終的にネットワーク全体を掌握する筋道が描けます。報じられているShinyHuntersのキャンペーンは、100を超える組織・300規模のシステムを標的とし、教育機関を中心に現実の被害を生んでいます。攻撃面が「人事の心臓部」であるほど、一件の侵入が組織全体に響きます。
CVSS 9.8という数字は、技術的な深刻度の最高値を示すラベルにすぎません。PeopleSoftを人事・給与・学務の土台として信頼してきた大学や企業にとって本当に失われるのは、全職員・全学生の人生の記録——給与、口座、住所、評価——が、認証もこじ開けられないまま一度にまとめて持ち去られることです。守りの中心を奪われれば、そこにぶら下がるすべての個人が攻撃者の射程に入ります。
CVE-2026-35273を技術的に見る、どこで何が起きるのか
CVE-2026-35273:認証不要でPeopleToolsを乗っ取る遠隔コード実行
CVE-2026-35273 のCVSSベクトルは AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H です。ネットワーク経由(AV:N)で、攻撃の難易度は低く(AC:L)、権限は不要(PR:N)、利用者の操作も不要(UI:N)、その結果として機密性・完全性・可用性のすべてに深刻な影響(C:H/I:H/A:H)が及びます。認証の前段から遠隔・無人で完全侵害に至るという、評価上もっとも悪い条件の組み合わせで、9.8という数字はここから来ています。
問題のあるコンポーネント「Updates Environment Management」は、PeopleSoftの各環境(開発・検証・本番)の状態を集約し、パッチや設定を配るための仕組みです。Webサーバー(PeopleSoft Internet Architecture)上で動くWebアプリとして起動するため、ネットワークから到達しやすく、今回の「認証不要・HTTP経由」という条件とかみ合います。ただし、Oracleのアラートは脆弱性の具体的な内部構造(どのような処理の不備でコード実行に至るか)を公開していません。これは攻撃の再現を容易にしないための通例で、詳細が伏せられていること自体は、危険度が低いことを意味しません。なお発見者は脆弱性の取引・調整を行う Trend Zero Day Initiative(ZDI) の研究者とされていますが、本記事執筆時点でクレジットの公式確認は取れていません。
PeopleSoftはこれまでも、認証不要のファイル読み取り(CVE-2023-22047)や、データの取り扱いの不備による遠隔コード実行(CVE-2025-30748)など、外部から踏める脆弱性が繰り返し報告されてきました。今回のCVE-2026-35273とこれら過去事案との直接の技術的関連は確認されていませんが、人事基盤という高価値の標的に対し、認証前の攻撃面が狙われ続けているという構図は共通しています。Oracle製品では WebLogic Serverの脆弱性が実際に悪用されCISAが緊急是正を指示した例 もあり、「Oracleの基盤製品=攻撃者の優先標的」という前提で備える必要があります。
同時期のShinyHunters攻撃との関係、確認済みと未確認を分ける
緊急アラートと前後して、PeopleSoftを狙う大規模なデータ窃取攻撃が報じられています。情報が錯綜しやすい局面なので、確かな事実と、まだ裏が取れていない関連を切り分けて整理します。
✓ 確認済みの事実
- ✓Oracleが定例外の緊急アラートでCVE-2026-35273(CVSS 9.8、認証不要のRCE)を公開した(Oracle公式ブログ)
- ✓攻撃グループ「ShinyHunters」が100超の組織・300規模のPeopleSoftシステムから大量のデータを盗んだと主張し、大学が多く含まれる。英ノッティンガム大学が被害を確認(TechCrunch)
- ✓攻撃側は「古い脆弱性とゼロデイを組み合わせて侵入する」と主張している(BleepingComputer)
? まだ裏が取れていない関連(未確認)
- ?ShinyHuntersの攻撃がCVE-2026-35273を使ったものか ― Oracleも各報道も、両者を直接結びつけてはいない
- ?本脆弱性が「実際に攻撃されている脆弱性カタログ(米CISAのKEV)」に登録されたか ― 執筆時点で確認できていない
- ?攻撃を成立させる実証コード(PoC)が公開されているか ― 確認できていない
関連が公式に確定していなくても、対応の結論は変わりません。認証不要で乗っ取れる9.8の欠陥に、Oracleが緊急パッチを出し、同じ製品が現に大規模攻撃を受けている——この二つが同時に成立している以上、対象組織が取るべき動きは「今すぐパッチ」一択です。確証ある関係者・研究者のX(旧Twitter)投稿は本件について確認できなかったため、本記事では埋め込みは行いません。
影響と対策 早見表
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-35273(CVSS 9.8 Critical) |
| 対象 | PeopleTools 8.61 / 8.62 (Updates Environment Management) |
| 前提 | 認証不要・利用者操作不要 ネットワーク経由のHTTPアクセス |
| 影響 | 遠隔コード実行 →サーバーの完全乗っ取り(情報窃取・改ざん・停止) |
| 対応 | Oracleの緊急パッチを即適用 (定例パッチを待たない) |
| 悪用状況 | 同製品への大規模攻撃を報道 (本CVEとの直接の結びつきは未確認) |
Oracleの月例・定例パッチの動向は こちらの記事 でも追っていますが、今回は定例を待たない緊急対応である点が決定的に異なります。次回の定例パッチ(7月)を待つ判断は、この案件では危険です。
管理者がいま取るべき動き
PeopleSoft(PeopleTools 8.61/8.62)を運用するすべての組織が対象です。優先順に整理します。
1. Oracleの緊急パッチを即適用する。本筋の対応はこれです。Oracleのセキュリティアラート から各バージョンの修正(Patch Availability Document)に進み、My Oracle Support経由でパッチを入手して適用してください。次回の定例パッチを待たず、計画外のメンテナンス枠を取ってでも前倒しすべき案件です。
2. 該当機能のインターネット公開を止める。攻撃はネットワーク経由で成立します。Environment Management関連の機能やPeopleSoftのWeb層を、必要もなくインターネットへ直接公開していないかを確認し、公開しているなら即座に社内ネットワークやVPN経由に限定してください。これはパッチ適用までの時間を稼ぐ緩和策としても有効です。
3. 侵害の有無を点検する。すでに大規模な攻撃が報じられている以上、「これから守る」だけでなく「すでに入られていないか」を前提に動く必要があります。Webサーバーのアクセスログに身に覚えのない外部からのリクエストがないか、不審なプロセスやファイルが置かれていないか、人事・財務データへの異常なアクセスがないかを確認してください。
4. 影響範囲を整理し、関係者への備えを進める。PeopleSoftには従業員・学生の個人情報が集中しています。万一の漏えいに備え、対象データの棚卸し、個人情報保護委員会等への報告体制、影響を受ける可能性のある本人への通知方針を、今のうちに確認しておくことが望まれます。
まとめ、認証なしで開く人事の金庫に、Oracleが異例の緊急パッチ
今回のCVE-2026-35273で浮き彫りになったのは、組織でもっとも秘匿性の高いデータが集まる人事・給与の基盤PeopleSoftを、IDもパスワードもなしに遠隔から乗っ取れるという構図です。Oracleが四半期の定例を待たずに緊急パッチを出したこと、そして同じ製品が現に大規模なデータ窃取攻撃を受けていること——この二つが重なった事実が、危険度の高さを何より雄弁に示しています。
やるべきことは明快です。PeopleTools 8.61/8.62を使う組織は、Oracleの緊急パッチを今すぐ適用すること、該当機能の外部公開を止めること、すでに侵入されていないかをログから点検すること。攻撃とCVEの公式な結びつきが確定するのを待つ必要はありません。人事の金庫の鍵が認証なしで開く状態にある以上、対応に「様子見」の選択肢はないと考えるべきです。
参照元
- ▸Oracle - Security Alert CVE-2026-35273
- ▸Oracle公式ブログ - Security Alert CVE-2026-35273 Released
- ▸NVD - CVE-2026-35273
- ▸TechCrunch - Cybercriminals claim breach of Oracle PeopleSoft servers at 100+ organizations
- ▸BleepingComputer - Oracle PeopleSoft servers hacked in ShinyHunters data theft attacks
- ▸SecurityWeek - Many Organizations Using Oracle PeopleSoft Vulnerable to Attacks
- ▸Oracle Docs - Environment Management Framework
- ▸CISA KEV カタログ