2026年6月11日、Oracleは人事・給与・財務などの基幹業務を支えるERPスイートPeopleSoftの基盤コンポーネントEnterprise PeopleToolsに深刻な脆弱性があるとして、定例のCritical Patch Updateを待たない単発のSecurity Alertを公開した。割り当てられたCVE-2026-35273はCVSS 9.8(Critical)で、PeopleToolsのEnvironment Managementコンポーネントに起因する。未認証の攻撃者がHTTP経由でネットワーク到達するだけで、PeopleSoft環境を完全に乗っ取れる。本記事では、この脆弱性の正確な意味と、自環境での確認・検知・対処の手順を、一次ソース(Oracle Security Alert・NVD)の公称値に基づいて解説する。攻撃ペイロードは扱わず、防御側が今すぐ取れる行動に絞る。
LLM時代を含むOSS/クラウドセキュリティの全体像を先に整理したい方は、ピラー記事AIセキュリティとは?LLM時代の脅威モデル・代表的リスク・OSS対策ツールを体系解説する入門ガイドを読むと、本記事の位置づけがつかみやすい。
30秒で理解する PeopleSoft RCE
3行+αでわかるCVE-2026-35273
・何が: Oracle PeopleSoft Enterprise PeopleToolsのEnvironment ManagementにCVSS 9.8のRCE。未認証・HTTP到達だけで完全乗っ取りに至る。
・対象: PeopleTools 8.61 と 8.62(業務アプリのバージョンではなく、基盤PeopleToolsの版が分岐点)。
・深刻度: CVSSベクトルはAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H。認証情報も前提条件も不要で、機密性・完全性・可用性すべてに高影響。
・対応: Oracleが定例を待たず緊急公開したSecurity Alertを最優先で適用。暫定は/PSEMHUB/への到達制限だが、根本対応はパッチ。
この記事で繰り返し強調するのは2点だ。第一に、これは「認証不要・誰でも・HTTPで届くだけ」という、防御の優先度を最大に引き上げるべきプロファイルだということ。第二に、ERP=PeopleSoftが人事・給与・財務という機密性の塊を抱える基幹システムであり、乗っ取られたときの被害が単なる1サーバの侵害にとどまらないということだ。だからこそ、Oracleは四半期ごとのCritical Patch Updateを待たず、単発のSecurity Alertとして緊急に公開した。
何が起きたか
Oracleは2026年6月11日、CVE-2026-35273に対するSecurity Alert Advisoryを公開した。Oracleの公式声明は明快で、「この脆弱性は未認証でリモートから悪用可能であり、成功すればリモートコード実行(RCE)に至り得る」と述べている。問題はPeopleSoft Enterprise PeopleToolsのEnvironment Managementコンポーネント(NVDの表記では「Updates: Environment Management」)に存在する。
重要なのは、Oracleがこれを定例のCritical Patch Update(CPU)とは別建ての単発Security Alertとして公開した点だ。Oracleの脆弱性対応は通常、年4回(1月・4月・7月・10月)のCPUにまとめられる。それを待たずに緊急で出すのは、Oracleが緊急度を高く見ていることの明確なシグナルである。次のCPUまで放置してよい性質のものではない。
基本情報を一次ソースの公称値で整理する。
| 項目 | 値 |
|---|---|
| CVE番号 | CVE-2026-35273 |
| 製品 | Oracle PeopleSoft Enterprise PeopleTools |
| コンポーネント | Environment Management(NVD表記: Updates: Environment Management) |
| 影響バージョン | 8.61 / 8.62 |
| CVSS 3.1 ベーススコア | 9.8(Critical) |
| CVSSベクトル | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 影響 | 未認証リモートコード実行 → 完全乗っ取り |
| 公表日 | 2026年6月11日 |
| 公開形態 | Oracle Security Alert(定例CPUとは別建ての緊急公開) |
| CISA KEV登録 | 本記事公開時点では未登録(要継続監視) |
CVSSベクトルを分解すると、深刻度の根拠がはっきりする。各指標がほぼ最悪値に振れている。
| 指標 | 値 | 意味 |
|---|---|---|
| AV: Attack Vector | N(Network) | ネットワーク経由で攻撃可能。物理アクセスや隣接ネットワークは不要 |
| AC: Attack Complexity | L(Low) | 特別な条件や競合状態を要さず、攻撃が容易 |
| PR: Privileges Required | N(None) | 権限不要。有効なアカウントもセッションも要らない |
| UI: User Interaction | N(None) | 被害者の操作(クリック等)を要さない |
| S: Scope | U(Unchanged) | 影響は同一権限境界内。これがCVSS 10.0でない唯一の理由 |
| C / I / A | H / H / H | 機密性・完全性・可用性のすべてに高影響 |
PR:NかつUI:Nという組み合わせは、攻撃に人間の介在も認証も要らないことを意味する。先日解説したOpenStack Mistral RCE(CVE-2026-41283)がPR:L(低特権ながら認証は必須)だったのと対照的に、今回は認証の壁そのものが存在しない。この差は、攻撃が始まったときの広がり方に直結する。
影響範囲(対象バージョン・デプロイ形態・想定ユースケース)
影響を受けるのはPeopleTools 8.61 と 8.62だ。ここで多くの担当者がつまずくのが「バージョンの見方」である。PeopleSoftは「業務アプリケーション(HCM/FSCM/Campus Solutions/CRM など、いわゆる9.2系)」と「それらが共通して載る技術基盤=PeopleTools」の二層構造になっている。CVE-2026-35273が効くのは後者のPeopleToolsの版であって、業務アプリの版ではない。HCM 9.2を使っていても、その下のPeopleToolsが8.61/8.62なら対象になる、という点を最初に腹落ちさせておきたい。
PeopleToolsの版は、サインオン画面のフッタ、管理者であれば[PeopleTools] > [Utilities] > [PeopleTools Options]、あるいはアプリケーションサーバのpsadminから確認できる。まずここを押さえるのが影響判定の出発点だ。
デプロイ形態ごとの「露出度」を整理すると、優先順位を付けやすい。重要なのは、いずれの形態でもPeopleToolsが8.61/8.62なら対象である点は変わらず、違うのは「攻撃者がPSEMHUBに到達しやすいか」という露出の度合いだけだという理解だ。
(ただし版固有のリスクは別途評価)"] Q -->|"はい = 対象"| EXP["PSEMHUB への到達経路は?"] EXP -->|"インターネット公開"| R1["露出 最大
外部から未認証で到達可能"] EXP -->|"社内ネットワークのみ"| R2["露出 中
内部・踏み台経由で到達可能"] EXP -->|"内部ティアに隔離済み"| R3["露出 低
だがパッチ適用は必須"] style SAFE fill:#c9e4ca,stroke:#27ae60 style R1 fill:#e74c3c,stroke:#922b21,color:#fff style R2 fill:#ffe9c7,stroke:#e67e22 style R3 fill:#fdf3d0,stroke:#d4ac0d
想定ユースケースという観点も無視できない。PeopleSoftは人事・給与(HCM)、財務・調達(FSCM)、大学の学籍管理(Campus Solutions)、顧客管理(CRM)といった、組織の根幹データを扱うモジュール群を載せる。つまり乗っ取られたときに漏れる・改ざんされるのは、従業員の個人情報、給与・口座、財務諸表、学生の成績といった最も機密性の高いデータだ。同じCVSS 9.8でも、ERP基盤での未認証RCEは被害の質が重い。影響範囲を「対象バージョンか」だけでなく「どのモジュールでどんなデータを扱っているか」まで含めて棚卸しすると、経営層への説明や対応の優先順位付けがしやすくなる。
PeopleSoftのEnvironment Managementとは
攻撃メカニズムを理解する前に、舞台となるEnvironment Management Framework(EMF)を押さえておきたい。EMFは、PeopleSoftのインストール・構成・更新情報を収集し共有する仕組みで、Change AssistantやUpdate Managerによるパッチ適用・環境管理を支える裏方だ。普段エンドユーザーが意識することはまずないが、運用基盤として配置されている。
EMFは主に3つの要素で構成される。役割を理解しておくと、なぜEnvironment Managementが攻撃面になるのかがつかみやすい。
| コンポーネント | 実体 | 役割 |
|---|---|---|
| EM Hub(PSEMHUB) | Webサーバ上のサーブレット(PSEMHUBディレクトリ) | 環境情報のXMLリポジトリを保持し、各peer(agent)間通信のブローカーとして機能する |
| EM Agent | 各サーバ上のJava実行体 | アプリケーションサーバ・Process Scheduler・Webサーバ等に常駐し、Hubへ情報を発行・問い合わせる |
| EM Viewer | コマンドラインツール | Hubに蓄積された環境情報(ホスト・更新・サーバ構成)を参照する |
ここで鍵になるのがEM Hub(PSEMHUB)だ。PSEMHUBはPeopleSoft Pure Internet Architecture(PIA)の一部としてWebサーバ上に配置されるサーブレットであり、HTTPでagent群とやり取りする。つまり「Webサーバ上でHTTPを受け付けるエンドポイント」が、まさに今回のEnvironment Managementコンポーネントの実体である。Web層に到達できる相手からは、このHubが攻撃面として見える、というのが本質的な構図だ。
攻撃メカニズム(パッチ前後の差分・前提条件)
本セクションでは攻撃の成立条件と構図のみを扱い、再現可能な攻撃ペイロードやエクスプロイトコードは一切掲載しない。目的は防御側が「どこを塞げばよいか」を理解することにある。
Oracleの公称とNVDの記述を総合すると、攻撃の成立条件は次のように整理できる。攻撃者に必要なのは、脆弱なPeopleTools 8.61/8.62インスタンスのEnvironment Managementエンドポイント(PSEMHUB)へHTTPで到達できること、ただそれだけだ。有効な認証情報、正規セッション、被害者の操作はいずれも不要である(PR:N/UI:N)。到達してリクエストを送れる位置にいれば、最終的にコード実行へ到達し得る。
攻撃の流れを概念図で示す。各段階の具体的な手口ではなく、「未認証到達 → Hub処理 → コード実行 → 乗っ取り」という連鎖の構造を理解することが、検知・防御ポイントの特定につながる。
認証情報なし"] -->|"HTTP到達"| B["Environment Management Hub
PSEMHUB サーブレット"] B -->|"未認証で処理"| C["Environment Management
プロトコル処理"] C -->|"任意コード実行へ到達"| D["Webサーバ/アプリサーバ上で
OSコマンド実行"] D --> E["完全乗っ取り
機密データ閲覧・改ざん・永続的バックドア"] style A fill:#ffd7d7,stroke:#c0392b style B fill:#ffe9c7,stroke:#e67e22 style C fill:#ffe9c7,stroke:#e67e22 style D fill:#f5c0c0,stroke:#c0392b style E fill:#e74c3c,stroke:#922b21,color:#fff
パッチ前後の差分については、Oracleはエクスプロイトを助長しないよう技術詳細を最小限にとどめている。公開情報から言えるのは、パッチ前のEnvironment Managementコンポーネントが、本来課されるべき認証・検証を欠いたままHTTPリクエストを処理し得たこと、そしてSecurity Alertの修正がその検証を補う方向の対策だということだ。防御側にとって重要なのは内部実装の詳細ではなく、「未認証リクエストがHubに届く経路を塞ぎ、かつパッチで処理側を修正する」という二重の対応が必要だという結論である。
攻撃が成功した場合の到達点は重い。securityonline.infoの解説は、攻撃者が「内部データベースの改ざんや機密ユーザーログの閲覧」に加え、「永続的バックドアの設置や任意のOSコマンド実行」に至り得ると報じている。これはCVSSのC:H/I:H/A:H(機密性・完全性・可用性すべてに高影響)という評価と整合する。
検知方法(ログ・WAF・ネットワーク監視)
パッチ適用が最優先だが、適用前後を通じて「不審な到達と痕跡」を検知できる体制を整えておきたい。検知の起点はWeb層のログである。
Webサーバ・アクセスログで確認する観点:
・/PSEMHUB/配下のURIに対する、外部IPや想定外の内部ホストからのリクエスト
・認証セッションを伴わないPOST/PUTなど、Environment Managementエンドポイントへの非定常な書き込み系リクエスト
・短時間に繰り返される同一エンドポイントへの試行(探索・スキャンの兆候)
・User-Agentやリクエストパターンが正規のEM agent/Change Assistantと異なる通信
WAF・リバースプロキシでの検知・遮断:
・/PSEMHUB/および Environment Management Hub関連URIへの外部からのアクセスをブロックするルールを追加
・許可リスト方式で、正規のEM agentが載るPeopleSoft内部ティアのIPのみをHubへ到達可能にする
・遮断と同時にアラートを上げ、ブロックログを監視対象に含める
ネットワーク監視での検知:
・PSEMHUBが本来インターネットや一般業務セグメントから到達可能になっていないか(公開状態の棚卸し)
・Webサーバ・アプリサーバからの想定外のアウトバウンド通信(外部への接続、見覚えのない宛先へのデータ送出)
・新規に登録された見覚えのないEM agentのpeer、想定外のホストからのEnvironment Managementプロトコル通信
・サーバ上での不審な新規プロセス・ファイル生成・OSコマンド実行の痕跡
侵害の有無を断定できない場合でも、疑わしい時間帯の通信・ファイルは保全したうえで精査し、必要に応じてインシデント対応の専門チームへ引き継ぐのが安全だ。トークン窃取からの横展開を多層で止める考え方は、トークン窃取を多層で止める防御パターンも参考になる。
対処(緊急パッチ適用・暫定回避策・サポート問い合わせ)
対処の優先順位は明確だ。根本対応はOracle Security Alertの適用であり、暫定策はそれまでの時間稼ぎと位置づける。
ステップ1: 対象判定(まず版を確認)
業務アプリ(HCM 9.2 / FSCM 9.2 等)ではなく、基盤のPeopleToolsが8.61または8.62かを確認する。サインオン画面フッタ、[PeopleTools] > [Utilities] > [PeopleTools Options]、またはpsadminから確認できる。8.61/8.62なら対象だ。
ステップ2: 緊急パッチ適用(根本対応) My Oracle Support(MOS)からCVE-2026-35273のSecurity Alertに対応するパッチを取得し、適用する。Oracleは本件を「高優先度のリスク低減策」として即時対応を強く推奨している。本番反映前にステージングで適用・回帰確認を行い、業務影響を抑える。
ステップ3: 暫定回避策(パッチ適用までの間)
・WAF/リバースプロキシ/ネットワークACLで/PSEMHUB/への到達を、信頼できる内部ホストのみに制限する
・Environment Managementを運用で使っていない環境では、EM Hubの無効化・停止を検討する(ただし事前に影響範囲を確認)
・PSEMHUBがインターネットや不要なセグメントから到達可能なら、まず外部公開を遮断する
ステップ4: サポート問い合わせ 契約形態(オンプレ/OCI/他社クラウド)によってパッチ適用の責任分界が異なる。マネージド契約でアプリ層までOracleが面倒を見る構成でない限り、PeopleToolsのパッチ適用は顧客作業だ。不明な場合はMy Oracle Support経由でサポートに確認し、責任の所在を明確化する。
防御を層で重ねる考え方を図にすると、暫定策とパッチがどう補完し合うかが見える。
外部・不要セグメントから遮断"] end subgraph L2["第2層: WAF/プロキシ"] A2["/PSEMHUB/ への到達を
許可リストで制限+アラート"] end subgraph L3["第3層: パッチ(根本)"] A3["Oracle Security Alert適用
処理側の検証を修正"] end subgraph L4["第4層: 監視/検知"] A4["アクセスログ・peer登録・
アウトバウンドを継続監視"] end L1 --> L2 --> L3 --> L4 style L3 fill:#c9e4ca,stroke:#27ae60 style A3 fill:#c9e4ca,stroke:#27ae60
過去のPeopleSoft脆弱性との関連
CVE-2026-35273は突発的な異常ではなく、PeopleSoft/PeopleToolsが長年さらされてきた攻撃トレンドの延長線上にある。基幹システムとして外部・内部から到達されやすく、未認証RCEが繰り返し見つかってきた。代表的な過去事例を並べると、今回の位置づけが見える。
| CVE | 年 | 影響コンポーネント | 対象版 | CVSS | 性質 |
|---|---|---|---|---|---|
| CVE-2017-10366 | 2017 | PeopleTools(Performance Monitor) | 8.54 / 8.55 / 8.56 | 9.8 | Javaデシリアライゼーションによる未認証RCE。PoCが公開され広く悪用された |
| CVE-2023-22047 | 2023 | PeopleTools(Portal) | 8.59 / 8.60 | 7.5 | 未認証の情報開示(任意ファイル読み取り)。研究者が設定ファイル奪取からRCEへ連鎖させるPoCを公開 |
| CVE-2026-35273 | 2026 | PeopleTools(Environment Management) | 8.61 / 8.62 | 9.8 | 未認証RCE。HTTP到達のみで完全乗っ取り |
ここから読み取れる教訓は3つある。第一に、PeopleToolsの脆弱性は業務アプリの版ではなく基盤の版で効くこと。HCMやFSCMをいくら新しくしても、PeopleToolsが脆弱版なら対象になる。第二に、未認証で到達できるWeb層のサーブレット(Portal、Performance Monitor、そして今回のPSEMHUB)が繰り返し狙われていること。第三に、過去のPeopleSoft脆弱性はPoC公開後に実際の悪用が観測されている点だ。CVE-2017-10366はメタスプロイトやスタンドアロンの実証コードが流通し、攻撃に使われた。CVE-2026-35273も同じ経路をたどる可能性を前提に、PoC流通前のパッチ適用を急ぐべきだ。
近年は基幹システムだけでなく、開発・運用基盤やサプライチェーンを狙う未認証RCEも相次いでいる。直近の事例としてMariaDB Galera RCE(CVE-2026-49261)や、npm経由で自己増殖するPhantom Gyp(binding.gypを悪用するnpmワーム)も、攻撃面の広がりという文脈で併せて押さえておきたい。
企業のERP担当者がすぐ確認すべきこと
ERP担当者・PeopleSoft管理者が、本記事を読んだ直後に着手すべきチェックリストをまとめる。順番に潰していけば、被害確率を実務的に下げられる。
今すぐ確認すべき7項目
・版の確認: PeopleToolsが8.61/8.62か。業務アプリ版ではなく基盤版を見る。
・公開状態の棚卸し: PSEMHUB(/PSEMHUB/)がインターネットや不要セグメントから到達可能になっていないか。
・暫定遮断: パッチ適用前に、WAF/プロキシ/ACLで/PSEMHUB/への到達を信頼ホストのみに制限。
・パッチ計画: My Oracle SupportでSecurity Alertのパッチを取得し、ステージング検証→本番適用のスケジュールを最優先で確保。
・ログ確認: Webアクセスログで/PSEMHUB/への不審リクエスト・未認証POST・想定外peer登録を遡って点検。
・責任分界の確認: OCI/他社クラウド/オンプレで、パッチ適用責任が自社かベンダか。契約を確認。
・継続監視: CISA KEVへの追加有無、Oracleの追補、PoC流通の動向をウォッチ。
ERPは人事・給与・財務という、組織で最も機密性の高いデータを束ねるシステムだ。乗っ取られれば、従業員の個人情報・口座・評価・財務諸表が一度に危険にさらされる。1サーバの侵害という以上の意味を持つことを、経営層への説明にも織り込んでおきたい。AI時代の脅威モデル全体での位置づけは、Vitest RCE(CVE-2026-47429)の確認・パッチ手順のような他の未認証RCE事例と並べて捉えると理解が進む。
まとめ
CVE-2026-35273は、Oracle PeopleSoft Enterprise PeopleToolsのEnvironment Managementに存在する未認証リモートコード実行の脆弱性で、CVSSは9.8(Critical)。対象はPeopleTools 8.61/8.62。攻撃者はHTTPで脆弱なPSEMHUBエンドポイントに到達するだけで、認証情報も被害者の操作もなしに完全乗っ取りへ到達し得る。Oracleが定例のCritical Patch Updateを待たず単発のSecurity Alertとして緊急公開したこと自体が、緊急度の高さを物語っている。
防御側の打ち手は明確だ。根本対応はSecurity Alertの即時適用。それまでの暫定として/PSEMHUB/への到達制限、Webアクセスログとネットワークの監視、公開状態の棚卸しを行う。PeopleSoftはERPの中枢であり、過去にも未認証RCEが繰り返しPoC公開後に悪用されてきた歴史がある。PoCが出回る前に、版の確認とパッチ計画に今日着手してほしい。
参照ソース
・Oracle Security Alert Advisory - CVE-2026-35273(Oracle公式・一次ソース)
・NVD - CVE-2026-35273 Detail(CVSS 9.8 / ベクトル / コンポーネント)
・Security Alert CVE-2026-35273 Released(Oracle Security Blog)
・securityonline.info: PeopleSoft RCE Security Bug(報道・二次ソース)
・Oracle: Environment Management Framework(PeopleTools公式ドキュメント)
・NVD - CVE-2017-10366 Detail(過去事例)
・NVD - CVE-2023-22047 Detail(過去事例)
