日産 北米、ハッカーグループのOracle PeopleSoft ゼロデイ攻撃で従業員の個人情報漏洩の恐れ

セキュリティニュース

投稿日時: 更新日時:

日産 北米、ハッカーグループのOracle PeopleSoft ゼロデイ攻撃で従業員の個人情報漏洩の恐れ

Nissan North Americaは、Oracle PeopleSoftに関連するサイバー攻撃により、米国、カナダ、メキシコ、ブラジルの現職および元従業員の個人情報がアクセスされた可能性があると通知しました。

日産北米の通知によると、同社は給与、税務管理、人事記録などの従業員情報管理にOracle PeopleSoftを利用しており、Oracleから、複数企業の人事記録が脅威アクターに取得された可能性があるサイバーイベントについて連絡を受けたとしています。その後、日産が今回の攻撃で特に標的にされていたことを把握したと説明しています。

Oracleは2026年6月10日、Oracle PeopleSoft PeopleToolsの脆弱性CVE-2026-35273に関するSecurity Alertを公開しており、Google Mandiantは同脆弱性が2026年5月27日から6月9日にかけてゼロデイとして悪用されていたと説明しています。

サマリー

  • Nissan North Americaが、現職・元従業員の個人情報漏洩の可能性を通知
  • 対象は米国、カナダ、メキシコ、ブラジルの現職および元従業員
  • 日産北米は、給与、税務管理、人事記録などの管理にOracle PeopleSoftを利用
  • Oracleから、複数企業の人事記録が脅威アクターに取得された可能性があるサイバーイベントの連絡を受けたと説明
  • 日産は、その後、自社がこの攻撃で特に標的にされていたことを把握
  • アクセスされた可能性がある情報には、連絡先、銀行情報、社会保障番号、社会保険番号、国民識別番号、財務・税務データ、扶養家族・受益者情報などが含まれる可能性
  • Oracleは2026年6月10日、PeopleSoft PeopleToolsのCVE-2026-35273に関するSecurity Alertを公開
  • CVE-2026-35273はCVSS 9.8のCriticalで、認証なしでネットワーク越しに悪用可能
  • Google Mandiantは、同脆弱性が2026年5月27日から6月9日にかけてゼロデイとして悪用されたと説明
  • 当サイトでは過去に、ShinyHuntersによるOracle PeopleSoft大規模攻撃について報じています

概要

今回の事案は、日産北米が利用するOracle PeopleSoftに関連して、従業員情報がアクセスされた可能性があるというものです。

日産北米の通知では、Oracle PeopleSoftは給与、税務管理、その他の人事記録を管理するために利用されていたとされています。Oracleから、複数企業の人事記録が脅威アクターに取得された可能性があるサイバーイベントについて通知を受け、その後、日産がこの攻撃で特に標的にされていたことを把握したと説明されています。

同社は、インシデントレスポンス手順を起動し、当局と連絡を取りながら対応しているとしています。また、社内の技術チームと外部専門家がシステムを保護し、Oracleと連携して問題への対応を進めていると説明しています。

現時点では調査の初期段階とされており、影響範囲の全容は確定していません。ただし、日産北米は、従業員の一部個人情報がアクセスされた可能性があるとしています。

何が起きたか

日産北米は、Oracle PeopleSoftを利用して従業員情報を管理していました。

Oracleからサイバーイベントに関する連絡を受けた後、同社は調査を開始しました。通知文書では、Oracle PeopleSoftに関連する攻撃により、複数企業の人事記録が脅威アクターに取得された可能性があり、日産も特に標的にされたと説明されています。

ShinyHuntersは、100組織超、300以上のPeopleSoftインスタンスに侵入したと主張しており、Google MandiantもUNC6240、ShinyHuntersによるOracle PeopleSoftを標的とした恐喝キャンペーンを確認しています。

Google Mandiantの分析では、攻撃活動は2026年5月27日から6月9日にかけて観測され、Oracleが6月10日にSecurity Alertを公開する前から悪用されていたため、CVE-2026-35273はゼロデイとして悪用されたと整理されています。

漏洩した可能性がある情報

日産北米の通知では、調査の初期段階であるとしつつ、以下のような従業員情報がアクセスされた可能性があると説明されています。

区分 含まれる可能性がある情報
連絡先情報 従業員の連絡先情報
金融関連情報 銀行情報、金融データ
識別番号 Social Security Number、Social Insurance Number、National Identification Number
税務関連情報 税務データ
家族・受益者情報 扶養家族、受益者に関する情報

対象は、米国、カナダ、メキシコ、ブラジルの現職および元従業員とされています。

通知文書では、個別にどの情報が影響を受けたかは調査中であり、個人情報が露出したと判断された対象者には、追加の詳細と今後の手順を通知するとしています。

現職従業員向けに追加された制限

現職従業員向けの通知では、給与明細の閲覧や直接入金情報の変更について、ネットワーク接続された会社PCまたは安全なVPN接続経由でログインする必要があると説明されています。

また、給与関連のリクエストを処理する前に、追加の本人確認レイヤーを実装する方針も示されています。

これは、今回アクセスされた可能性がある情報に銀行情報や税務データが含まれることを踏まえた不正送金・給与振込先変更詐欺への対策とみられます。従業員情報の漏洩では、攻撃者が人事部門や従業員を装い、給与振込先の変更や本人確認を口実にしたフィッシングを仕掛ける可能性があります。

Oracle PeopleSoftの脆弱性 CVE-2026-35273

Oracleは2026年6月10日、Oracle PeopleSoft PeopleToolsに影響するCVE-2026-35273のSecurity Alertを公開しました。

Oracleのアドバイザリによると、CVE-2026-35273はPeopleSoft Enterprise PeopleToolsのUpdates Environment Managementコンポーネントに存在する脆弱性です。対象バージョンはPeopleTools 8.61および8.62で、HTTP経由でネットワーク越しに認証なしで悪用可能です。

CVSS v3.1の基本値は9.8で、攻撃が成功した場合、リモートコード実行につながる可能性があります。Oracleは、推奨される緩和策の実装を高優先度のリスク低減策と位置づけ、直ちに対応するよう呼びかけています。

また、Oracleの2026年6月Critical Security Patch Updateでは、CVE-2026-35273に関するSecurity Alert向けの修正を含むPeopleSoft PeopleToolsおよびPeopleSoft Enterprise Applications向けのパッチ適用が強く推奨されています。

ShinyHuntersによる攻撃との関係

Google Mandiantは、UNC6240、ShinyHuntersによるOracle PeopleSoftを標的とした侵害・恐喝キャンペーンを確認しています。活動は2026年5月27日から6月9日まで観測され、PeopleSoft Environment Management Hub、PSEMHUBのエンドポイントを標的にしていたと説明されています。

Google Mandiantは、活動を確認した後、潜在的に脆弱なエンドポイントと相関するIPアドレスを持つ100以上のグローバル組織へ通知したとしています。

今回の日産北米の通知文書は、脆弱性名やShinyHuntersを明示していません。

ただし、Oracle PeopleSoftを利用していたこと、Oracleから複数企業の人事記録が取得された可能性について通知を受けたこと、日産が特に標的にされたこと、カリフォルニア州司法長官への通知で侵害期間が2026年5月27日から6月9日とされていることから、一連のPeopleSoftゼロデイ攻撃と関連性が強いと考えられます。

企業が確認すべきポイント

Oracle PeopleSoftを利用している企業では、CVE-2026-35273への対応状況を直ちに確認する必要があります。

まず、PeopleSoft Enterprise PeopleToolsのバージョンを確認し、8.61または8.62を利用している場合は、OracleのSecurity Alertおよび2026年6月Critical Security Patch Updateに従って修正を適用してください。

次に、2026年5月27日から6月9日までの期間を中心に、PSEMHUB関連エンドポイント、PeopleSoftサーバー、アプリケーションサーバー、Webサーバー、管理アカウントのログを確認する必要があります。Google Mandiantが示す攻撃活動の期間と一致するため、この期間の不審な通信、認証、コマンド実行、ファイル作成、データ転送を重点的に確認してください。

また、PeopleSoftは人事、給与、税務、財務、学生情報など機微な情報を扱う基幹システムとして利用されることが多いため、システム単体のパッチ適用だけでは不十分です。侵害が疑われる場合は、認証情報のローテーション、管理者アカウントの棚卸し、サービスアカウントの見直し、DBアクセスログの確認、外部転送の痕跡確認まで含めて対応する必要があります。

給与システムや人事システムが関係する場合は、給与振込先変更、税務書類、扶養家族情報、受益者情報などを悪用した詐欺にも注意が必要です。人事・給与部門では、振込先変更や本人確認リクエストに追加確認を設けることが望まれます。

人事・給与データ漏洩のリスク

今回の通知で挙げられている情報は、単なる連絡先情報にとどまりません。

銀行情報、社会保障番号、社会保険番号、国民識別番号、税務データ、扶養家族・受益者情報は、本人確認、口座開設、税務詐欺、給与振込先変更詐欺、標的型フィッシングに悪用される可能性があります。

特に、従業員と元従業員の情報が対象になる場合、退職者の連絡先が古く、通知が届きにくいことがあります。また、退職後も給与、税務、年金、福利厚生、退職金、保険関連の情報が人事システムに残っていることが多いため、現職者だけでなく元従業員への支援と通知が重要です。

企業側では、人事システムを単なる業務システムではなく、攻撃者にとって価値の高い機微情報の集積先として扱う必要があります。

過去報道との関係性

セキュリティ対策Labでは、2026年6月15日にハッカーグループがOracle PeopleSoftへサイバー攻撃-100組織超から300インスタンスへ不正アクセスかとして、ShinyHuntersがOracle PeopleSoftを標的に大規模データ窃取攻撃を行ったとする報道を取り上げました。

また、当サイトでは日産、Red Hatへの不正アクセスによるサイバー攻撃で約2.1万人分の個人情報漏洩の恐れも取り上げています。こちらは日産福岡販売の顧客情報がRed Hatへの不正アクセスに関連して流出した可能性がある事案で、今回の日産北米の従業員情報漏洩可能性とは別件です。ただし、いずれもサードパーティや広く利用される基幹システム・プラットフォームの侵害が、日産関連の情報へ波及した点で共通しています。

さらに、当サイトではOracle、E-Business Suiteの未認証アクセスの脆弱性(CVE-2025-61884)に緊急対処を呼びかけでもOracle製品の緊急対応を取り上げています。今回のCVE-2026-35273はPeopleSoft PeopleToolsの脆弱性であり、対象製品は異なりますが、Oracle製品を基幹業務に利用する組織では、緊急パッチ適用と侵害有無の確認が重要である点は共通しています。

関連記事

ハッカーグループがOracle PeopleSoftへサイバー攻撃-100組織超から300インスタンスへ不正アクセスか

日産、Red Hatへの不正アクセスによるサイバー攻撃で約2.1万人分の個人情報漏洩の恐れ

Oracle、E-Business Suiteの未認証アクセスの脆弱性(CVE-2025-61884)に緊急対処を呼びかけ

Oracle Health、サイバー攻撃により情報漏洩の可能性

出典

Nissan North America:Former Employee Communication Cybersecurity Incident

Nissan North America:Employee Communication Cybersecurity Incident

California Department of Justice:Submitted Breach Notification Sample – Nissan North America Inc.

Oracle:Security Alert CVE-2026-35273 Released

Oracle:Oracle Security Alert Advisory – CVE-2026-35273

Oracle:Oracle Critical Security Patch Update Advisory – June 2026

Google Cloud / Mandiant:ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit