クラウドベースの学習管理システム「Canvas LMS」を攻撃したShinyHuntersがOracle PeopleSoftの脆弱性を悪用した攻撃キャンペーンを展開したとMandiantとGoogle Threat Intelligence Groupが明らかにしています。攻撃は5月27日から6月9日にかけて観測され、攻撃された組織の多くは高等教育機関だということです。
C2ではなくMeshCentralエージェントを使う
この攻撃はOracle PeopleSoft のPeopleSoft Enterprise PeopleToolsの脆弱性CVE-2026-35273を悪用して行われたようです。この脆弱性が悪用されるとHTTP経由でネットワークにアクセスした認証されていない攻撃者がPeopleSoft Enterprise People Toolsを侵害し、PeopleSoft Enterprise PeopleToolsが乗っ取られる可能性があるということです。オラクルが6月10日に発表しました。MandiantとGoogle Threat Intelligence Groupによるとこの攻撃は5月27日から6月9日にかけて観測されたということですからゼロデイ攻撃ということです。すでにCISAの既知の悪用された脆弱性(KEV)カタログに追加されています。
Oracle PeopleSoftはオラクルが提供する統合業務システムで、PeopleSoft Enterprise PeopleToolsはPeopleSoftを構築・カスタマイズ・管理するための専用開発プラットフォームだということです。MandiantとGoogle Threat Intelligence Groupによると攻撃は高等教育分野の組織に集中していて、その多くは大学などの教育機関だということです。多くはアメリカの組織のようです。ShinyHuntersは今春、世界で利用されているクラウドベースの学習管理システム「Canvas LMS」を攻撃したばかりで、再び教育機関を標的にした可能性があります。Canvas LMSを運営しているInstructure社は15億円以上もの身代金の支払いをしたとも伝えられており、それが事実であれば「成功」に味をしめて再び教育機関をターゲットにしたのかもしれません。
MandiantとGoogle Threat Intelligence Groupのレポートなどによると、この攻撃は脆弱性CVE-2026-35273を悪用してネットワークに侵入した後、多くのサイバー攻撃ではC2により外部との通信が行われますが、この攻撃ではオープンソースのリモート管理ツールであるMeshCentralエージェントを端末に配備して遠隔操作をしていたということです。
C2では不正な外部通信としてセキュリティに検知されるところ、正規のクラウドエンドポイントを装うことでセキュリティを回避して攻撃を行ったということです。
「欧州評議会から297GB以上のデータを窃取」との情報も
また、これとは別にネット上ではShinyHuntersがフランスに拠点を置く欧州評議会(coe.int)を侵害し欧州評議会の人事や給与データなど297GB以上のデータを窃取したとの犯行声明を出したとの情報も出回っています。欧州評議会が要求に応じなければ機密データを漏洩すると脅迫しているということです。これらデータには2011年から2026年までの1万人以上の給与明細記録や40万件以上の給与明細、1万4000件以上の履歴書、個人情報や財務情報、銀行情報など多岐にわたるデータが含まれており、6月16日までに連絡をとるように求めているとされています。この件に関して欧州評議会は反応しておらず真偽は定かではありません。
ShinyHuntersは、ボイスフィッシングなどソーシャルエンジニアリングによる手口で知られ、脆弱性を悪用した今回の攻撃はこれまでの攻撃手口とはやや異なる印象も受けます。類似犯や模倣犯も出現することから、今回の攻撃を、ShinyHuntersを表明する攻撃者による攻撃と表現しているレポートもあります。ShinyHuntersの実態は必ずしも明らかでなく、MandiantとGoogle Threat Intelligence GroupはUNC6240として追跡しています。
【出典】
https://www.oracle.com/security-alerts/alert-cve-2026-35273.html
https://www.dexpose.io/shinyhunters-breaches-council-of-europe-exposing-sensitive-data/