Oracle PeopleSoft(PeopleTools)に認証欠落の脆弱性(CVE-2026-35273)— 認証なしで乗っ取り・ランサムウェア悪用確認
企業の人事・財務などを支えるERP「Oracle PeopleSoft」の基盤「PeopleTools」に、重要機能の認証欠落(CWE-306)の脆弱性。遠隔・認証なしの攻撃者がPeopleToolsの乗っ取りを達成しうる。CISAは悪用確認済み(KEV)として掲載し、ランサムウェアでの悪用も確認(NVD公式CVSS 9.8 Critical)。
脆弱性の基本情報
- CVE番号CVE-2026-35273
- CVSS基本値9.8 CRITICAL
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)Oracle PeopleSoft Enterprise PeopleTools
- CWECWE-306
- 悪用状況CISA KEV 掲載(実際の悪用を確認)/ランサムウェアでの悪用も確認
- 是正期限2026-06-15(米連邦民生機関・BOD 22-01)
要点
CVE-2026-35273は、Oracle PeopleSoft Enterprise PeopleTools に存在する「重要な機能の認証欠落(Missing Authentication for Critical Function, CWE-306)」の脆弱性だ。PeopleSoftは、人事・給与・財務・調達・大学業務などを担う企業向けの基幹システム(ERP)で、PeopleToolsはその土台となる開発・実行基盤にあたる。
CISAの記載によれば、本脆弱性により、認証されていない攻撃者がPeopleSoft Enterprise PeopleToolsの乗っ取り(takeover)を達成しうる。「認証欠落」とは、本来は認証を必要とすべき重要な機能に、認証なしで到達・実行できてしまう不具合を指す。基幹システムは人事・給与・財務など機微な情報を集約するため、乗っ取られた場合の影響は広範だ。ネットワーク経由・低難易度・認証不要で、機密性・完全性・可用性のすべてに重大な影響が及ぶ。
さらにCISAは、本脆弱性がランサムウェア攻撃のキャンペーンで悪用されていることを確認している。
【対応の要点】Oracleの公式アドバイザリ(Critical Patch Update等)を確認し、影響を受けるPeopleToolsのバージョンを特定して修正を適用する。CISAは連邦民生機関に2026年6月15日までの是正を義務付けており(民間にとっても実務上の目安)、ランサムウェア悪用が確認されているため最優先での対応が望ましい。あわせて、PeopleSoftの外部公開範囲を点検し、不審なアクセスがないかログを確認する。
なぜ重要か
人事・財務などの機微情報を集約する基幹システムが、認証なしで乗っ取られうる。ランサムウェア悪用も確認されており、PeopleSoftを運用する企業・大学・官公庁は、外部公開範囲の棚卸し・即時のパッチ適用・ログ点検が要点。基幹業務システムを狙う攻撃の現実を示す。
よくある質問(FAQ)
PeopleSoft/PeopleToolsとは?
「認証欠落」とはどういう脆弱性ですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。