「日産が社員の個人情報を漏洩したって聞いたんでしゅ。うちも日産と同じシステムを使ってるかもしれないんでしゅ……」
「ShinyHuntersって前にも大きな攻撃をやった犯罪グループでしゅよね?なんでそんな組織に狙われたんでしゅか?」
ボスっ!日産がハッキングされて社員の社会保障番号や銀行口座まで盗まれたって本当でしゅか?
ああ、本当だ。Oracle PeopleSoftのゼロデイ脆弱性を悪用した大規模キャンペーンで、日産はその標的のひとつになった。しかも被害は100組織以上に及ぶ。
2026年7月1日、日産自動車(Nissan Americas含む)は、Oracle PeopleSoftのゼロデイ脆弱性(CVE-2026-35273)を悪用した攻撃により、社員・元社員の個人情報が漏洩した可能性があると発表しました。
攻撃を行ったのはShinyHunters extortionグループで、世界100組織以上のPeopleSoftシステムを侵害した大規模キャンペーンの一部です。
この記事では、事件の概要・脆弱性の仕組み・日本企業が今すぐ取るべき対策を解説します。
- Oracle PeopleSoftのゼロデイ CVE-2026-35273(CVSS 9.8)を悪用し、ShinyHuntersが100組織超を侵害
- 日産は社員・元社員の社会保障番号・銀行口座・税務情報の漏洩を確認、攻撃期間は5/27〜6/9
- パッチは6月10日にリリース済みだが、PeopleSoft 8.61/8.62を使用する日本企業も至急確認が必要
Oracle PeopleSoftは人事・給与・財務管理などに使われるERPで、日本の大企業でも広く採用されています。
今回の攻撃はゼロデイが悪用されたため、パッチが出るまでの間に多数の組織が侵害されました。
まず自社のPeopleSoftのバージョンとパッチ適用状況を確認することが最優先です。
目次
日産を含む100組織以上を狙ったPeopleSoft攻撃キャンペーン
今回の攻撃は特定組織を狙ったものではなく、PeopleSoftの脆弱インスタンスを世界規模でスキャンして侵害する大規模なキャンペーンでした。
「ゼロデイ」ってまだパッチが出てない脆弱性でしゅよね?それを使われたら防ぎようがないんでしゅか?
完全に防ぐのは難しい。だが、インターネットへの露出を最小化し、ネットワーク監視を強化しておけば、侵害を早期に検知して被害を限定できる。ゼロデイだからといって諦める理由にはならないな。
攻撃の概要と被害規模
キャンペーンの主要な事実をまとめます。
| 項目 | 内容 |
|---|
| 脆弱性 | CVE-2026-35273(CVSS 9.8)Oracle PeopleSoft PeopleTools PSEMHUB |
| 脆弱性タイプ | SSRF → RCE(Server-Side Request Forgery を起点に遠隔コード実行) |
| 影響バージョン | PeopleTools 8.61 / 8.62 |
| 攻撃期間 | 2026年5月27日〜6月9日(ゼロデイ悪用) |
| パッチリリース | 2026年6月10日(Oracle緊急セキュリティ勧告とともに公開) |
| 被害規模 | 300以上のPeopleSoftインスタンス、100組織超 |
| 実行グループ | ShinyHunters extortionグループ |
Googleのセキュリティ部門(Mandiant)はOracle緊急勧告の公表と同時に、侵害された100組織以上への通知を実施しました。
日産の場合、米国・カナダ・メキシコ・ブラジルに勤務する現職・元従業員の社会保障番号(SSN)・銀行口座・税務記録・財務情報が窃取された可能性があります。
原因と教訓:ERPシステムのセキュリティ管理
今回の攻撃はゼロデイという性質上、パッチによる事前防御が不可能でした。
それでも被害を最小化するために企業が取れる対策があります。
PeopleSoftを使っている企業が今すぐ確認すべきこと
特にPeopleSoftを使用している組織は、以下を優先的に対応してください。
- PeopleSoftのバージョンを確認し、PeopleTools 8.61/8.62であれば6月10日のパッチを即時適用する
- PeopleSoftのPSEMHUBコンポーネントへのインターネット直接アクセスを遮断する
- 5月27日〜6月9日の期間のPeopleSoftアクセスログを調査し、不審なリクエストがないか確認する
- インシデントが疑われる場合はOracleのセキュリティサポートおよびMandiantへの連絡を検討する
ShinyHuntersって前にもTicketmasterとかSnowflakeとかを攻撃してたグループでしゅよね?なんでまだ活動してるんでしゅか?
逮捕・起訴されたメンバーもいるが、グループ自体は活動を続けている。主な収益源は窃取したデータの売却や恐喝だ。高価値なデータを持つ大企業・ERPシステムは常に標的になる、という認識が必要だな。
まとめ:ゼロデイへの備えとインシデント検知が鍵
日産を標的にしたOracle PeopleSoftゼロデイ攻撃は、パッチが出る前の14日間に世界100組織以上が侵害されたという、ゼロデイリスクの深刻さを示す事例です。
PeopleTools 8.61/8.62を使用している場合は6月10日のパッチを至急適用し、5〜6月のアクセスログを遡って調査することが今できる最重要の対応です。
ゼロデイ対策として、ERPシステムのインターネット露出を最小化し、異常なアクセスを検知できる監視体制を整備することが、次の攻撃への備えになります。