Oracleが、人事・給与管理ソフト「PeopleSoft」に存在する深刻なゼロデイ脆弱性について、顧客向けに注意喚起した。サイバー犯罪グループ「ShinyHunters」がPeopleSoftサーバーを利用する100超の組織への侵害を主張する中、Google傘下の脅威インテリジェンス企業Mandiantは、同グループが悪用している脆弱性と同一だとみている。TechCrunchが11日（現地時間）に報じた。

Oracleの注意喚起は、ShinyHuntersがPeopleSoft利用組織への侵害を主張した翌日に出された。

Mandiantは、Oracleが言及した脆弱性について、ShinyHuntersがPeopleSoft顧客への攻撃に悪用しているものと同じだと明らかにした。

Mandiantによると、同社はこの脆弱性に関連して100超の組織に通知した。大半は米国に所在し、約3分の2は高等教育機関だったという。一部の組織は対策を講じて悪用を防いだが、別の組織では侵害が発生し、盗まれたデータがShinyHuntersのリークサイトに公開されたとしている。

Oracleは現時点で、この脆弱性に対するパッチを提供していない。このバグは、パスワードなどの認証なしにインターネット経由で悪用される恐れがある。OracleはPeopleSoft利用顧客に対し、悪用防止策の適用を推奨している。

ShinyHuntersは、未修正のPeopleSoftサーバーの脆弱性を悪用して企業や組織に侵入したと主張している。被害を受けた学校側に送付したメッセージでは、学生の氏名、住所、電話番号、生年月日、成績（GPA）、専攻、学籍番号など、数十万件に上る学生記録を奪取したとしている。

ShinyHuntersはこの1年、Salesforce、Gainsight、Instructureのソフトを導入する企業を標的にしてきた。脆弱なソフトウェアとその利用企業を特定してデータを盗み、公開をちらつかせて身代金を要求していたという。