オラクル、ハッカーが100以上の組織に侵入するために悪用した深刻な脆弱性についてPeopleSoftに警告

オラクルは最近、給与計算や人事管理に使用される同社のPeopleSoftソフトウェアに重大なセキュリティ脆弱性があるとして、企業顧客向けにセキュリティ警告を発した。 ShinyHunters と呼ばれるサイバー犯罪グループは、この脆弱性を利用して大規模なハッキング活動を開始し、このソフトウェアを使用して 100 以上の組織に侵入していると主張しています。この警告は、ShinyHunters が PeopleSoft サーバーを実行している 100 以上の組織のシステムに侵入したと主張した翌日、現地時間の木曜日に発行されました。

Google傘下のサイバーセキュリティ企業Mandiantはブログ投稿で、ShinyHuntersが悪用している脆弱性はOracleが公表した新たな欠陥と同じ問題であり、標的はOracleのPeopleSoft顧客グループに集中していることを認めた。現在、Oracleは修正パッチをリリースしていないが、この脆弱性はインターネット経由でリモートから悪用され、認証やパスワードなしで攻撃が開始される可能性があるとセキュリティ勧告で警告し、影響を受けるPeopleSoftシステムを現在も使用している顧客に対し、攻撃を受けるリスクを軽減するために公式の緩和策に従って直ちに設定するよう呼び掛けた。

ShinyHunters のメンバーらによると、このグループはパッチが適用されていない PeopleSoft サーバーを攻撃することで複数の組織のシステムに侵入したという。 Oracle がパッチをリリースする前、この脆弱性は典型的な「ゼロデイ」脆弱性でした。つまり、脆弱性が発見され悪用されたとき、ソフトウェア製造元には修正プログラムを開発する時間がありませんでした。マンディアント社は、システム内の潜在的なリスクについて警告する通知を世界中の100以上の組織に送ったと述べた。そのほとんどは米国にあり、大学と高等教育機関が約3分の2を占めている。これは、ShinyHunters が以前に公開した攻撃対象の構成と基本的に一致しています。

マンディアント氏は勧告の中で、一部の組織は攻撃中にハッカーの活動を阻止したり、タイムリーに脆弱性の修復を完了したりしたが、他の組織は実際に侵害を受け、その結果機密データが盗まれ、シャイニーハンターズが運営するデータ漏洩ウェブサイトに公開されたと指摘した。オラクルはまだこの大規模な侵入に対応していない。

ShinyHuntersのメンバーは、被害大学に送ったと主張する通知メッセージをメディアに見せ、ハッカーがその学校のシステムから学生の名前、自宅の住所、電話番号、電子メールアドレス、生年月日、性別、民族、在籍状況、成績平均点（GPA）、専攻、学生ID番号を含む「数十万件の学生記録」を盗んだことを示した。攻撃の範囲が拡大するにつれ、PeopleSoft とその顧客は、同じ種類の脆弱なソフトウェアをターゲットとした ShinyHunters による一連の侵入の最新の被害者になります。

過去 1 年間、ShinyHunters は、同じソフトウェア プラットフォームを使用している企業や機関を繰り返し攻撃の対象としてきました。この犯罪組織はこれまでに、Salesforce や Gainsight、教育テクノロジー大手 Instructor が提供するソフトウェア サービスを使用して、多くの企業に対して侵入を行ってきました。特定の種類のソフトウェアに悪用可能な脆弱性があることが確認されると、そのソフトウェアを使用している多数の組織をスキャンして侵入し、企業や顧客のデータを盗み、データを公開すると脅して被害者に身代金を要求します。

今年初め、インストラクチャは2回の侵入の後、ハッカーと和解に達し、ハッカーに報酬を支払ったことを公に認めた。関連する攻撃では、ShinyHunters は複数の学校のログイン ページを改ざんし、攻撃結果を表示するために使用していた Instructor が所有する Canvas キャンパス情報ポータルを悪意を持って「改ざん」しました。現在、PeopleSoftの脆弱性が大規模に暴露され悪用されているため、中核業務の処理にこのシステムに依存している企業や大学がタイムリーに正式な緩和策を講じ、できるだけ早くパッチを導入しなければ、次のデータ漏洩やランサムウェア攻撃の被害者になる可能性が非常に高いとセキュリティ専門家は警告している。