チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「人事や学務の基幹システムが狙われたら、職員や学生の情報が一気に抜かれるんでしゅか?」
「パッチが出る前から攻撃されてたって、それじゃ防ぎようがないんでしゅ……」
チップスパッチより先に攻撃が始まるなんて、後手に回るしかないんでしゅか?
ボスそう悲観するな、チップス。ゼロデイでも、悪用の兆候と優先対応を知っていれば被害は抑えられる。順を追って見ていくぞ。
本記事では、Oracle PeopleSoftの重大脆弱性CVE-2026-35273がどう悪用されたのか、そして利用組織が今すぐ取るべき対応を整理します。
読み終える頃には、ゼロデイ悪用にどう備え、どこから手を打つべきかの判断軸が手に入ります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まずは何が起き、どこが狙われたのかを整理します。
CVE-2026-35273は、PeopleSoft Enterprise PeopleToolsの環境管理コンポーネントに見つかった重大な脆弱性です。
CVSSは9.8と最大級で、認証なしで遠隔からコードを実行され、システムを丸ごと掌握される恐れがあります。
Oracleが6月10日にアラートを公表しましたが、悪用はその約2週間前の5月下旬から始まっていました。
CISAは6月12日にこの脆弱性を悪用済み脆弱性カタログ(KEV)へ追加し、緊急の対応を促しています。
今回の事案のポイントは以下のとおりです。
| 項目 | 内容 |
|---|---|
| 脆弱性 | CVE-2026-35273(CVSS 9.8)未認証の遠隔コード実行 |
| 対象 | PeopleTools 8.61/8.62の環境管理コンポーネント |
| 悪用期間 | 5月27日〜6月9日、公表前から進行 |
| 被害 | 100超の組織、約68%が米国の教育機関 |
チップス大学がこんなに狙われるなんて、思ってもみなかったんでしゅ……。
ボス教育機関は個人情報の宝庫で、対応体制も手薄になりがちだ。攻撃者は守りの甘いところを的確に突いてくる。
誰がどう悪用したのか、その実態を掘り下げます。
この攻撃は、金銭目的の集団ShinyHunters(UNC6240)によるものとされています。
未認証の遠隔コード実行でシステムを掌握し、内部のデータを大量に盗み出したうえで、公開をちらつかせて恐喝する手口です。
狙われたのは主に米国の大学で、職員や学生の機微な情報が一度に流出する深刻な被害につながりました。
PeopleSoftは日本でも企業や大学で広く使われており、対岸の火事とはいえません。
利用組織が取るべき対応は次のとおりです。
チップスパッチを当てるだけじゃなく、もう入られてないか確かめることも大事なんでしゅね。
ボスそのとおりだ。公表前から悪用されていた以上、すでに侵入された前提でログを洗うのが筋だな。
CVE-2026-35273は、PeopleSoftの基幹基盤を未認証で乗っ取れる重大なゼロデイで、公表前からShinyHuntersに悪用されていました。
米国の教育機関を中心に100超の組織が被害を受けており、PeopleSoftを使う日本の組織も警戒が必要です。
緩和策とパッチを急ぐと同時に、すでに侵入された前提でログを点検する姿勢が被害の連鎖を断ち切ります。
こうしたゼロデイ対応やインシデント調査の最前線で力を試したい方は、ぜひセキュリティフリーランス案件に目を向けてみてください。
参考: SecurityWeek「Oracle Addresses PeopleSoft Vulnerability Amid Reports of Zero-Day Attacks」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
