Nissan が確認したデータ侵害:Oracle PeopleSoft の脆弱性 CVE-2026-35273 が原因と判明

Nissan Confirms Data Breach Following Oracle PeopleSoft 0-Day Attacks

2026/06/30 CyberSecurityNews — Nissan Americas が正式に確認したのは、ShinyHunters 恐喝グループによるキャンペーンを実行する脅威アクターが、Oracle PeopleSoft ソフトウェアの深刻なゼロデイ脆弱性を悪用し、4カ国の現職従業員と元従業員に影響するデータを侵害したことだ。

この攻撃の原因となったのは、Oracle PeopleSoft PeopleTools バージョン 8.61/8.62 の Updates Environment Management (PSEMHUB) コンポーネントに存在する、未認証のサーバサイド・リクエスト・フォージェリ (SSRF) からリモート・コード実行 (RCE) へと至る脆弱性である。この脆弱性 CVE-2026-35273 は、CVSS スコアで 9.8 と評価されている。

この欠陥の悪用において、認証もユーザー操作も必要とされないため、通常の HTTP を介した悪用が可能となる。つまり、脆弱なインスタンスにネットワーク経由で到達できる攻撃者であれば、完全なリモート・コード実行を達成できる可能性がある。すでに Oracle は、2026年6月10日の時点で緊急のセキュリティ・パッチをリリースしている。また、その2日後に、この脆弱性は CISA の Known Exploited Vulnerabilities (KEV) カタログへ追加された。

Mandiant および Google の Threat Intelligence Group (GTIG) は、このキャンペーンを UNC6240 (ShinyHunters) に帰属させている。これは、Bling Libra としても追跡されている、金銭的動機を持つサイバー犯罪集団である。

悪用が発生したのは、Oracle のアドバイザリ公開よりも 2 週間以上前となる、2026年5月27日だと確認されていた。このグループは、自動化された攻撃スクリプトを使用し、世界中の100以上の組織にわたる 300 を超える PeopleSoft インスタンスを侵害した。

Nissan がデータ侵害を確認

California Attorney General’s Office へ提出されたデータ侵害通知によると、この広範なキャンペーンの中で、Nissan Americas は具体的に標的とされたことを確認している。侵害の期間は 2026年5月27日から6月9日に及び、以下を含む機密性の高い従業員データが露出した可能性がある。

  • 連絡先および銀行情報
  • Social Security Number (SSN)/Social Insurance Number (SIN)/国民識別番号
  • 財務および税務データ
  • 扶養家族および受益者に関する情報

このインシデントは、米国/カナダ/メキシコ/ブラジルにおける Nissan の現職および元従業員に影響したと考えられている。

通知を受けた Nissan は、直ちにインシデント対応プロトコルを発動し、外部のサイバーセキュリティ専門家を関与させ、法執行機関と協力した。

封じ込め措置として、同社は給与の明細閲覧および振込先変更などを含む給与システムへのアクセスを、社内ネットワークのコンピュータと安全な VPN 接続に制限した。また、給与に関する依頼を処理する前の保護策として、追加の本人認証レイヤーを実装した。影響を受けた個人に対して、無料のクレジット監視およびダーク Web 監視サービスも提供するよう、Nissan は手配している。

Mandiant の分析によると、ShinyHunters は侵害済みホストに MeshCentral のリモート管理エージェントを展開し、”meshagent64-azure-ops.exe” などの正規の Microsoft Azure サービスに偽装していた。C2 通信に関しては、”wss://azurenetfiles[.]net:443/agent.ashx” にルーティングされていた。

悪用後の活動に含まれるものとしては、PeopleSoft の内部コンフィグに関する偵察/ラテラル・ムーブメント用スクリプトの実行/zstd 圧縮を使用したデータ流出などが挙げられる。なお、侵害済みのサーバには、README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT という身代金要求メモのファイルが設置されていた。

主な侵害の痕跡 (IOC)
TypeIndicatorDescription
IP142.11.200[.]186–190Staging/C2 infrastructure
Domainazurenetfiles[.]netC2 masquerading as Azure
SHA-256f02a924c9ff92a8780ce812511341182...meshagent64-azure-ops.exe
URL Path/PSEMHUB/hubExploitation endpoint
URL Path/PSIGW/HttpListeningConnectorSSRF exploitation endpoint
FileREADME-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXTExtortion marker

緩和策

PeopleTools 8.61/8.62 を実行している組織にとって必要なことは、パッチ適用を緊急の優先事項として扱うことである。Rapid7 および Mandiant は、パッチ適用に加えて以下を推奨している。

  • PSEMHUB サービスを無効化または制限し、ネットワーク境界で /PSEMHUB/* および /PSIGW/HttpListeningConnector への外部アクセスをブロックする。
  • PeopleSoft サーバからのアウトバウンド SMB トラフィック (TCP/445) を監視し、外部への NetNTLM ハッシュ取得の試行を検出する。
  • 悪用活動は Oracle のアドバイザリ公開より 2 週間前に開始されているため、パッチ適用後も侵害の痕跡を探索する。
  • 侵害された可能性がある PeopleSoft インスタンスからアクセス可能な、すべての認証情報をローテーションする。

2025年8月にも、Cl0p による Oracle E-Business Suite の脆弱性 CVE-2025-61882 が悪用された。それから僅か 8ヶ月後に悪用された2件目の Oracle ERP ゼロデイ脆弱性が、今回の CVE-2026-35273 である。ERP プラットフォームが、組織的な恐喝活動における主要な産業規模の標的となっていることを、今回の攻撃が示している。