CISA Issues Alert on Oracle PeopleSoft Vulnerability Exploited by Ransomware Groups
2026/06/17 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Oracle PeopleSoft Enterprise PeopleTools に存在する、深刻な脆弱性 CVE-2026-35273 (CWE-306) の積極的な悪用に関する緊急アラートを発出した。この脆弱性を悪用する未認証の攻撃者は、脆弱な PeopleSoft 環境の完全な制御を可能にする。
CISA によると、この欠陥はランサムウェア・キャンペーンでの悪用が観測されており、リスクが著しく高まっている。そのため、影響を受ける組織に対して、修復期限の前倒しが求められている。
Oracle PeopleSoft の脆弱性
脆弱性 CVE-2026-35273 は、PeopleTools の主要コンポーネントにおける認証の不備に起因し、リモート攻撃者に対して認証メカニズムのバイパスを許すものである。
この脆弱性の悪用に成功した攻撃者は、システム全体への侵害を引き起こす可能性がある。具体的には、機密性の高い企業データへの不正アクセス/任意コマンドの実行/企業ネットワーク内でのラテラル・ムーブメント (横方向移動) などが生じる可能性がある。
PeopleSoft は、政府機関や大企業において、人事/財務/サプライチェーン業務のために広く導入されている。したがって、悪用時の影響は深刻であり、業務停止や大規模なデータ侵害につながる恐れがある。
CISA は 2026年6月12日、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、ランサムウェア運用者による悪用が確認されていることを示した。
この欠陥を初期アクセス・ベクターとして悪用する脅威アクターは、インターネットに公開された PeopleSoft インスタンスを標的として、ランサムウェア・ペイロードの展開や永続的アクセスの確立を試みている可能性が高い。
その一方で、このような急速な武器化が浮き彫りにするのは、認証を必要としない高価値エンタープライズ・システムの欠陥を、攻撃者が優先的に悪用する傾向が継続している実態である。
Binding Operational Directive 26-04 に基づき、米国連邦機関は 2026年6月15日を期限とする 3日間で、この脆弱性を修復することが義務付けられた。CISA が求めているのは、ベンダー提供の緩和策を直ちに適用し、リスクベースのパッチ適用フレームワークに準拠することだ。
特に、パッチ適用前にインターネットへ公開されていたシステムについては、フォレンジック・トリアージ要件に従い、侵害の有無を評価することが推奨されている。
セキュリティチームにとって必要なことは、すべての PeopleSoft 環境に対してインターネット公開状況を評価し、リスクに応じて優先的にパッチを適用することだ。迅速なパッチ適用が不可能であり、適切な緩和策が利用できない場合には、保護が完了するまでのシステムの使用停止が推奨される。
また、異常な認証パターン/予期しない管理操作/異常なネットワーク・トラフィックなどを監視することで、悪用試行の検出を行うことも重要である。
この脆弱性 CVE-2026-35273 が、ランサムウェア・キャンペーンに利用されている状況が示すのは、高価値資産である ERP プラットフォームが、継続的に標的化される状況が続いていることである。
即時アクセスを得ようとする脅威アクターが、認証バイパスの脆弱性を悪用する傾向が強まる中、ユーザー組織に対して求められるのは、プロアクティブな脆弱性管理戦略を採用し、厳格なアクセス制御を実施し、継続的な監視を維持することだ。
訳者後書:ERP プラットフォームである PeopleTools の脆弱性 CVE-2026-35273 が、ランサムウェアの攻撃に悪用され、CISA KEV カタログに追加されました。問題の原因は、攻撃者が複雑な手順を踏まずにシステムへ直接侵入できてしまう、認証バイパスの脆弱性が放置されている点にあります。企業の重要なデータが集まる仕組みが狙われているため、事前の対策がとても大切になります。システムへのアクセス権限を厳しく見直すことや、不審な動きがないかを常に確認する体制を整えることで、多くのリスクを減らすことができます。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.