Oracle PeopleSoft ゼロデイ脆弱性、100以上の組織で悪用を確認 | 2026年6月13日

東京セキュリティブリーフィング 2026年06月13日（土曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年6月13日、土曜日の配信です。本日も注目のセキュリティニュースをお送りします。それでは詳しく見ていきましょう。

ヘッドライン

本日のニュースは、データベース管理システムの重大脆弱性悪用、米国政府のパッチ適用戦略転換、複数のブラウザとシステムの深刻な脆弱性など、多岐にわたります。また、企業の情報漏洩事案や国家支援型攻撃の新たな手口についても報告されています。特に注目すべきは、複数の脅威アクターが既に深刻度の高い脆弱性を悪用し始めているという点です。

詳細解説

Oracle PeopleSoft ゼロデイ脆弱性、100以上の組織で悪用を確認

まず最初にお伝えするのは、Oracle PeopleSoftで発見された極めて危険な脆弱性についてです。CVE-2026-35273という識別番号を持つこの脆弱性は、CVSS スコアが9.8という最大クラスの深刻度です。この脆弱性は認証不要のリモートコード実行を許すもので、攻撃者がシステムを完全に制御できる危険性があります。

問題となっているのはOracle PeopleSoft Enterprise PeopleToolsのバージョン8.61および8.62です。複数のセキュリティ研究機関の報告によると、この脆弱性は2026年5月27日から6月9日にかけてゼロデイ状態で積極的に悪用されました。脅威グループShinyHuntersと呼ばれる集団がこの脆弱性を利用して、100以上の組織を侵害したとみられています。特に注目すべき点は、被害組織の68%が高等教育機関だったということです。ノッティンガム大学を含む複数の教育機関が含まれており、40GB以上のデータが窃取されたと報告されています。

Oracleはすでに緊急警告を発し、パッチは近日中にリリース予定とのことですが、現時点ではまだ利用可能になっていません。PeopleSoftを導入しているすべての組織は、緊急の対応が必要な状況にあります。

CISA、リスクベースの脆弱性管理を連邦機関に義務付け

次に、米国サイバーセキュリティ・インフラストラクチャ庁（CISA）が発令した新しい指令についてお伝えします。BOD 26-04と呼ばれる拘束力のある運用指令で、これまでのCVSSスコアを基準とした一律のパッチ適用方針を大きく転換するものです。

従来、脆弱性はCVSSスコア（深刻度を0～10のスケールで示すもの）によって優先順位が決められていました。しかし、実際の攻撃ではCVSSスコアが必ずしも優先順位と一致しないという課題がありました。新指令では、4つの要素に基づくリスクベースのアプローチが採用されます。その4つの要素とは、インターネット上での露出度、CISA KEVカタログへの掲載状況、エクスプロイトの自動化可能性、および技術的影響です。

これら4つの要素の組み合わせによって、最も危険な脆弱性には極めて厳しい期限が設定されます。インターネット公開、KEVカタログに掲載、エクスプロイト自動化可能、かつ完全な制御を許す脆弱性に対しては、わずか3暦日以内の修正が義務付けられました。この指令は180日間で完全実装されることになります。

Chrome 緊急セキュリティアップデート、ゼロデイを含む複数脆弱性を修正

Googleが緊急のセキュリティアップデートを複数リリースしました。Chromeブラウザのアップデートでは28件から74件の範囲の脆弱性が修正されており、その中にはすでに悪用されているゼロデイが含まれています。

特に注目すべき脆弱性はCVE-2026-11645で、CVSS スコアは8.8です。このゼロデイはV8JavaScriptエンジンのメモリバグで、すでに実際の攻撃での悪用が確認されています。その他にも、use-after-free脆弱性やヒープバッファオーバーフロー脆弱性といった、リモートコード実行につながるクリティカルな問題が修正されています。Windowsを含むLinux、macOSユーザーは、バージョン149.0.7827.102以降への即座のアップデートが強く推奨されます。

TikTok・Instagram での偽動画によるマルウェア拡散

ソーシャルメディア上で非常に危険な脅威が広がっています。TikTokおよびInstagram Reelsで、Spotify Premiumやその他の人気サービスの「無料アクセス」を謳う短尺動画が大量に投稿されているのですが、これらはVidarというパスワード窃取マルウェアを配布するための罠です。

攻撃の手口は巧妙で、動画を視聴したユーザーに対してPowerShellコマンドを実行するよう促します。このコマンドを実行すると、マルウェアがシステムにダウンロードされます。特に危険な点は、最初に実行されるPowerShellスクリプトがWindows Defendersの除外設定を追加し、その後のマルウェア検知を回避することです。

一度Vidarがインストールされると、ブラウザに保存されたパスワード、クレジットカード情報、二要素認証データなどが窃取されます。複数の情報窃取マルウェアが同様の手口で拡散されていると報告されており、対策としては公式ストアからのみアプリケーションをダウンロードし、多要素認証を有効化することが重要です。

Ivanti Sentry の最大危険度脆弱性、24時間以内に悪用

Ivantiが公開したCVE-2026-10520は、CVSS スコアが最大値の10.0とされています。このOSコマンドインジェクション脆弱性はSentry製品R10.5.2以降に影響し、本当に恐ろしい点は、公開されてからわずか24時間以内に攻撃者に悪用されているということです。

セキュリティ研究者のWatchtowrがプルーフオブコンセプト（PoC）を公開した直後から、複数の攻撃が報告されました。Shadowserverのレポートによると、脆弱なSentryインスタンスのうち少なくとも2件にはバックドアが設置されたとのことです。CISAもこの脆弱性を重大視し、先ほどお伝えしたBOD 26-04に基づいて、連邦機関に対する即座のパッチ適用を命令しています。

フランス政府メッセンジャー Tchap への大規模侵害

フランスの政府職員が使用する暗号化メッセンジャー「Tchap」が大規模な侵害を受けました。約73,467人の政府職員アカウントが影響を受けたとされています。流出したデータの規模は約13.5ギガバイト、内容には643,459件のメッセージ、876件のディスカッションチャンネル、59,386件のメディアファイルが含まれます。

複数省庁にまたがる約3年分の通信記録が露出した可能性があります。攻撃者はソーシャルエンジニアリング手法で1つのアカウントを乗っ取り、そこから省庁横断的なアクセスを獲得したとみられています。メッセージが暗号化されていなかったパブリックチャットルームからデータが窃取されました。

九州電力、1,090万件の顧客情報を紛失

日本国内でも重大な情報漏洩事案が発生しました。九州電力がサーバーの記憶媒体を紛失し、約1,090万件の顧客個人情報が流出した可能性を公表しました。流出した可能性がある情報には、顧客の氏名、住所、電力使用量、電話番号が含まれます。

事態の経過は、4月27日にサーバー容量確保のためバックアップを実施し、その後5月26日に記憶媒体を取り出す際に消失が確認されたというものです。銀行口座情報やクレジットカード情報は未保存だったため、金銭被害には至らない可能性が高いとのことですが、個人情報が大量に流出したことは重大な事態です。

Google AI ファジングで脆弱性発見、セキュリティ研究者が50万ドルを獲得

セキュリティ研究に関する朗報もあります。Arvin Shivram氏がAI駆使した自動ファジング技術を用いてGoogleの複数の脆弱性を発見し、バグバウンティとして50万ドルを獲得しました。

研究者は約1,500件の内部APIを自動テストし、Google Voice関連の認証チェーンの脆弱性やAdExchange関連のアカウント乗っ取り脆弱性を特定しました。特に危険だったのはGoogle Voice関連で、公開APIキーと被害者のID情報のみでアカウント乗っ取りが可能だったということです。これはSIMスワップ攻撃に悪用される恐れがありました。Googleはこれを最高優先度のP0/S0と評価しています。

VRChat ユーザーデータ流出

VRChat プラットフォームが約250万人のユーザーデータ流出を明らかにしました。5月10日から12日にかけてクラウド環境への不正アクセスが発生したもので、流出したデータにはユーザー名、メールアドレス、ログイン履歴（デバイス情報とIPアドレスを含む）、SteamとMetaのユーザーIDが含まれます。

ただし、パスワードやクレジットカード情報は影響を受けていないと判断されています。VRChatは既に被害者への通知を開始しています。

Solana FakeFix キャンペーン、開発者狙いの供給チェーン攻撃

開発者を狙った危険なキャンペーンが報告されています。「Solana FakeFix」と呼ばれるキャンペーンでは、16個の悪意あるnpmパッケージと4個のPyPIパッケージが発見されました。関連パッケージを含めると計25個に上ります。

これらのパッケージはウォレットキー、クラウド認証情報、ソース管理トークン、SSHキーを窃取することを目的としています。攻撃者はGitHubのIssueスパムで既存パッケージの代替として宣伝し、開発者にインストールさせるという手口です。悪意あるコードはpostinstallスクリプト経由で実行されます。

AudiA6 マネーロンダリングサービスの摘発

Europool と国際共同作戦により、暗号資産を使用したマネーロンダリングサービス「AudiA6」が解体されました。このサービスはランサムウェア攻撃などの犯罪収益を洗浄するために利用されていました。

流出した犯罪収益の総額は3億8,000万ドルを超えるとされています。ジョージアで容疑者2名が逮捕され、25個のドメインが押収されました。86,000ユーロ相当の暗号資産が押収され、692,000ユーロが凍結されています。このサービスは迅速なトランザクションレイヤリング技術を使用して、犯罪収益を約1時間で匿名化していました。

北朝鮮、米テック企業への攻撃の約47%を占める

CrowdStrikeのレポートが衝撃的な数字を公開しました。米国テック企業への国家支援型攻撃の約47%が、北朝鮮の単一グループであるFamous Chollimaによるものであるということです。

攻撃手口は極めて組織的です。攻撃者はAIツールを利用して偽のITワーカー工作を実施し、採用候補者のペルソナを作成します。採用に成功すると、給与を窃取して北朝鮮に送金するというもので、その資金は核兵器開発に充てられている可能性があります。

APT28、NATO ターゲットの Outlook ゼロクリック脆弱性悪用

ロシア国家支援型脅威グループAPT28（GRU 第26165部隊）が高度な攻撃キャンペーンを展開しています。Outlookのゼロクリック脆弱性CVE-2023-23397を悪用し、NATO加盟国および防衛関連組織からNet-NTLMv2ハッシュを窃取しています。

窃取されたハッシュはNTLMリレー攻撃に利用されます。攻撃インフラは「MooBoot」と呼ばれるボットネット経由で隠蔽されており、侵害済みのUbiquiti EdgeRouterデバイスが活用されています。住宅用IPアドレスを経由することで、IP ブロッキングを回避しています。

Microsoft Teams Android版の情報漏洩脆弱性

Microsoftが Android版Teamsに存在する脆弱性CVE-2026-42835を公開しました。CVSS スコアは8.1で、認証済みの攻撃者がヒープメモリの一部をリモート読み取りできるというものです。

認証トークン、セッションID、キャッシュメッセージの断片が窃取されるリスクがあります。バージョン1.0.76.2026111302以降でパッチが適用されているため、ユーザーはアップデートを確認してください。

Proxmox Mail Gateway 9.1 リリース

最後に、セキュリティ製品の更新情報もお伝えします。Proxmoxがメールゲートウェイのバージョン9.1をリリースしました。Debian 13.5上で動作し、SpamAssassin 4.0.2、ClamAV 1.4.4、PostgreSQL 17といった最新のセキュリティコンポーネントを搭載しています。

隔離インターフェースが改善され、バックアップのネイティブ暗号化機能が新たに追加されました。メール送受信トラフィックをスクリーニングしてスパム、ウイルス、フィッシングに対応します。

クロージング

本日は、Oracle PeopleSoftの深刻なゼロデイ脆弱性、米国政府のパッチ適用戦略の転換、Chromeを含む複数製品のセキュリティアップデート、そして国内外での情報漏洩事案など、多岐にわたるセキュリティニュースをお送りしました。

共通して言えることは、脆弱性は公開直後の初期段階で極めて危険だということです。Ivanti Sentryのように、24時間以内に悪用が始まるケースも報告されています。ご自身およびご所属の組織のシステムについて、一度セキュリティ状況を確認してみることをお勧めします。気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。