ハッカーグループがOracle PeopleSoftへサイバー攻撃-100組織超から300インスタンスへ不正アクセスか|セキュリティとITのニュース-セキュリティ対策Lab

投稿日時: 2026年06月15日更新日時: 2026年06月15日

2026年6月10日（日本時間6月11日）、BleepingComputer（Lawrence Abrams記者）は、悪名高い恐喝グループ「ShinyHunters」がOracle PeopleSoftを実行するサーバーに対して大規模なデータ窃取攻撃を展開し、100組織以上・300インスタンス超からデータを盗み出したと主張していることを報告しました。

同日、セキュリティ研究者のMichael R（Xアカウント：@nahamike01）は、攻撃者が誤って公開状態にしたサーバーから.bash_historyファイルを発見し、攻撃チェーンの全容・MeshCentralエージェントのnpm設置・psappsrv.cfgからの認証情報抽出・PeopleSoftの3層構造（Web/App/Batch）への精密な攻撃ロジックを詳細に分析しました。被害組織の大多数は教育機関であり、英国のノッティンガム大学は同日、サイバーセキュリティインシデントを公式に認めています。Oracleは本記事執筆時点で公式コメントを発表していません。

PeopleSoftは人事・給与・財務・サプライチェーン・学生管理などの基幹業務を担う大学・官公庁・大企業向けのERPスイートであり、日本の大学・金融機関・製造業でも幅広く利用されています。本記事ではBleepingComputerの報道とMichael R氏のXスレッドを一次ソースとして、攻撃の手口・IoC・即時実施すべき対応手順を解説します。

サマリー

ShinyHuntersがOracle PeopleSoftを標的に大規模データ窃取攻撃を展開。100組織超・300インスタンス超からデータ窃取を主張（BleepingComputer、2026年6月10日）
攻撃手法：「ガジェットチェーン（旧CVEとゼロデイの組み合わせ）」による初期侵害。インスタンスの設定によって成功率が異なるとShinyHunters自身が認める
主な標的セクター：教育機関（多数が過去にも同グループに恐喝されている）
2026年5月27日にnpm経由でMeshCentralエージェントをインストール（npm install meshcentral --no-audit。--no-auditフラグで依存関係のセキュリティチェックを無効化）
攻撃の精度：psappsrv.cfg（アプリケーションプログラムサーバーの設定ファイル）から認証情報を抽出し、Web/App/Batchの全3層を識別する精巧なスクリプトを使用——PeopleSoftへの深い専門知識を示唆
SSH横展開：/etc/hostsでPeopleSoft関連システムを特定後、psoft・oracle・linuxadmという標準的なOracleの管理者アカウントでSSH接続を試み、パスワード認証失敗時はSSHキー認証にフォールバック
ランサムノート：README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXTを内部PeopleSoftサーバーのディレクトリに設置
確認されている被害組織：英国ノッティンガム大学（当日サイバーインシデントを公式確認）。/pay_or_leakエンドポイントに20組織超のデータ（6月2日・6月4日の組織名は未公開）
当初の標的：FBI（法執行機関ポータル）のPeopleSoftへの侵入を試みたが失敗
インフラ：azurenetfiles[.]netというドメイン名のTLS証明書を使用——MicrosoftのAzureとは無関係の偽装ドメイン。Proton66 OOO（ロシア系ホスティング）への接続も確認

1 ShinyHuntersとは
2 攻撃チェーンの全容—Michael R氏の分析を中心に
3 IOC（侵害の痕跡）一覧
4 今すぐ実施すべき対応
5 FAQ
6 参考情報

ShinyHuntersとは

ShinyHuntersは2020年頃から活動する著名な恐喝グループで、過去にTicketmaster・Santander銀行・AT&Tなどの大規模データ漏洩に関与したことで知られています。標準的な手口は、企業のデータを大量に盗み出した後、身代金支払いを拒否した場合にデータを公開するという二重恐喝（Double Extortion）です。今回の攻撃でも/pay_or_leakという専用エンドポイントを設置し、被害組織を支払い期限のプレッシャーにさらしています。

攻撃チェーンの全容—Michael R氏の分析を中心に

STEP 1：旧CVEとゼロデイの「ガジェットチェーン」による初期侵害

ShinyHuntersは攻撃に使用した脆弱性について「ガジェットチェーン（gadget chain）」と表現しています。これは既知の旧CVEと未公開のゼロデイを組み合わせて連鎖させることで、単独の脆弱性では達成できない深い侵害を実現する手法です。ShinyHuntersはインスタンスの設定によって攻撃の成功率が異なると認めており、「すべてのシステムに対して機能するわけではない」と述べています。

Oracleは本件についてパッチや公式声明を発表していない（2026年6月10日時点）ため、ゼロデイ脆弱性が含まれる可能性があります。

STEP 2：MeshCentralエージェントの密設置（2026年5月27日）

Michael R氏が.bash_historyファイルから発見した最重要の証拠の一つが、2026年5月27日のMeshCentralエージェントのインストールです。

npm install meshcentral --no-audit

MeshCentralはオープンソースのリモートデバイス管理プラットフォームであり、正規の用途では大量のデバイスを一元管理するために使われます。攻撃者はこれをRAT（Remote Access Trojan、遠隔操作ツール）として悪用し、侵害した端末を自らのC2（指令・制御）インフラに接続させます。

--no-auditフラグの使用が示すのは、攻撃者がセキュリティ監視ツールによるパッケージの依存関係チェックを意図的に回避しようとしたことです。

STEP 3：`psappsrv.cfg`からの認証情報抽出

Michael R氏の分析で最も重要な発見の一つが、攻撃スクリプトが**psappsrv.cfg**（PeopleSoftのアプリケーションプログラムサーバーの設定ファイル）から認証情報を直接抽出する機能を持っていた点です。psappsrv.cfgには以下のような情報が格納されています。

データベース接続のユーザー名・パスワード
アプリケーションサーバーの接続ノード情報
統合ブローカーの設定

このファイルを直接ターゲットにするスクリプトの存在は、「攻撃者がPeopleSoftのアーキテクチャに精通した内部知識を持つ人物または専門化されたグループによって開発された」ことを示唆していると Michael R氏は分析しています。

STEP 4：Web/App/Batchの3層構造を識別して横展開

PeopleSoftは通常、Webサーバー・アプリケーションサーバー（Tuxedo）・バッチサーバーという3層のアーキテクチャで構成されます。攻撃スクリプトはこれらのすべての層を識別し、以下のプロセスで横展開します。

/etc/hostsを解析してPeopleSoft関連のサーバーとIPを特定
psoft・oracle・linuxadmという標準的なOracle/PeopleSoftの管理者アカウントでSSHログインを試行
パスワード認証が失敗した場合はSSHキー認証にフォールバック
接続成功後、Webサーバー・アプリケーションサーバーの主要ディレクトリにランサムノートを設置

STEP 5：データ窃取と恐喝

攻撃者は侵害したシステムからデータを窃取した後、/pay_or_leakエンドポイントに被害組織のデータを掲載し、身代金支払いを要求します。6月10日時点で20組織超のデータが掲載されており、6月2日・6月4日に侵害された組織名は未公開の状態です。

IOC（侵害の痕跡）一覧

BleepingComputer・Michael R氏が確認したIOCは以下のとおりです。

悪意あるIPアドレス

IPアドレス	備考
`142.11.200[.]186`	.bash_historyを公開状態で露出していたサーバー群の一部
`142.11.200[.]187`	同上
`142.11.200[.]188`	同上
`142.11.200[.]189`	同上
`142.11.200[.]190`	同上
`108.174.202[.]99`	ShinyHunters関連インフラ
`176.120.22[.]24`	ShinyHunters関連インフラ

悪意あるドメイン・TLS証明書

項目	内容
ドメイン	`azurenetfiles[.]net`
注意	Microsoftのazure.netとは完全に別のドメイン。ShinyHuntersが以前から使用してきたインフラ
関連インフラ	`Proton66 OOO`（ロシア系ホスティング）経由の接続を確認

攻撃に使用されるアカウント名（SSH）

psoft
oracle
linuxadm

ランサムノートのファイル名

README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT

今すぐ実施すべき対応

Oracle PeopleSoftを運用している組織は以下の手順を即時実施してください。

① ログのIOCチェック（最優先）

上記7つのIPアドレスからのSSH接続試行・HTTPリクエスト・その他のアクセスログを直ちに確認してください。azurenetfiles[.]netドメインへのDNSクエリや通信もチェックしてください。

② PeopleSoftのランサムノートファイルの確認

PeopleSoftのWebサーバー・アプリケーションサーバー・バッチサーバーのディレクトリを検索し、README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXTファイルが存在しないかを確認してください。

③ `psappsrv.cfg`へのアクセスログの確認

psappsrv.cfgへの予期しないアクセスや変更が行われていないかをチェックし、認証情報が窃取された可能性がある場合はデータベースパスワードを直ちにローテーションしてください。

④ 標準管理者アカウントの確認と強化

psoft・oracle・linuxadmアカウントのSSHログイン履歴を確認し、不審なログインがあればインシデントレスポンスを開始してください。これらのアカウントに対して多要素認証（MFA）またはSSHキーのみによる認証（パスワード認証の無効化）を設定してください。

⑤ インターネット公開範囲の見直し

BleepingComputerは「影響を受けたサーバーをインターネットから一時的に切り離し、環境のセキュリティを確認・再構築するまでの間は公開状態を維持しない」よう強く勧告しています。PeopleSoftのWebサーバーが直接インターネットに公開されている場合は、VPNまたはファイアウォールによるアクセス制限を検討してください。

⑥ npmおよびMeshCentralの存在確認

PeopleSoftが稼働しているサーバー上でMeshCentralがインストールされていないかを確認してください。npmパッケージのリストを確認し、meshcentralパッケージが存在する場合は直ちにインシデントレスポンスを開始してください。

⑦ Oracleのパッチとセキュリティアドバイザリの監視

Oracleは現時点で公式コメントを発表していません。Oracle Critical Patch Update（CPU）ページとOracle PeopleSoftのサポートポータルを監視し、今後発表されるパッチを優先的に適用してください。

FAQ

Q. 今回の攻撃に使われた具体的なCVE番号はわかっていますか？ A. 2026年6月10日時点では不明です。ShinyHuntersは「旧CVEとゼロデイのガジェットチェーン」と表現していますが、具体的なCVE番号は公開していません。Oracleも声明を出していないため、ゼロデイが含まれる可能性があります。

Q. 教育機関が主標的なのはなぜですか？ A. 教育機関、特に大学はPeopleSoftを学生情報システム・人事・財務管理の基盤として広く使用しており、セキュリティリソースが商業企業と比べて限られているケースが多いことが標的として選ばれる理由と考えられます。また、学生・教職員の個人情報・成績・給与情報など、恐喝に有効なデータが大量に保存されています。

Q. 日本の組織への影響はありますか？ A. 公式に確認された日本の被害組織は現時点でありません。ただし、Oracle PeopleSoftは日本の大学・金融機関・製造業・官公庁でも採用されており、今回の攻撃が特定の地域に限定されているという証拠もないため、日本の利用組織も対象外ではないと考えるべきです。

Q. azurenetfiles[.]netはMicrosoftのサービスですか？ A. いいえ。azurenetfiles[.]netはMicrosoftの正規ドメイン（azure.net、azurefiles.net等）とは全く別のドメインです。MicrosoftのブランドをTLS証明書の共通名に使用して正規サービスに見せかける偽装手法であり、ネットワーク監視ツールが見落とす可能性があります。