あなたが毎月受け取る給与明細。その裏側で、勤務先がどんなソフトウェアを使って給与や個人情報を管理しているか、考えたことはあるでしょうか。多くの人にとって、それは意識すらしない「当たり前の仕組み」です。ところが今回、その当たり前の足元が崩れました。日産の従業員が直面したのは、自分では一切防ぎようのない侵害です。鍵をかけ忘れたわけでも、怪しいリンクを踏んだわけでもない。ただ、会社が使っていた基幹システムに穴があった。それだけで、社会保障番号や銀行情報が見知らぬ誰かの手に渡るかもしれない状況に置かれてしまったのです。これは遠い国の大企業だけの話ではありません。同じ構図は、私たちのすぐ隣にも横たわっています。
日産の北米法人(Nissan North America)が、Oracle PeopleSoft の脆弱性を悪用した攻撃により、現職および元従業員のデータが侵害された可能性があると公表しました。州当局サイト上の報告日は2026年6月26日、通知書面は6月25日付で、各メディアが報じたのは6月29日です。日産はカリフォルニア州司法長官への通知のなかで、Oracle から「数百社の人事記録が取得された可能性がある」と知らされ、その後に自社が特に標的とされたと把握したと説明しています。
流出した可能性がある情報は、連絡先、銀行情報、社会保障番号(SSN)、社会保険番号、国民識別番号、財務・税務情報などで、影響は米国・カナダ・メキシコ・ブラジルの従業員に及ぶとみられます。攻撃は恐喝グループ ShinyHunters と関連づけられており、Mandiant は脆弱性 CVE-2026-35273 が5月27日から6月9日にかけてゼロデイとして悪用されたと確認しています。
From:
Nissan discloses employee data breach linked to Oracle zero-day attacks
【編集部解説】
今回の一件を読み解く鍵は、「被害者は何も間違っていないのに巻き込まれた」という構造にあります。フィッシングメールに引っかかったわけでも、従業員がパスワードを使い回したわけでもありません。給与や人事を管理するために導入していた Oracle PeopleSoft という基幹ソフトウェアそのものに穴があった——それが出発点でした。
公表の経緯を正確に押さえておきます。今回の侵害は、日産の北米法人(Nissan North America)がカリフォルニア州司法長官へ提出した通知によって明らかになりました。州当局サイト上の報告日は2026年6月26日、通知書面の日付は6月25日付で、各メディアが報じたのは6月29日です。通知のなかで日産は、Oracle から「サイバー事象があり、数百社の人事記録が取得された可能性がある」と知らされ、その後に自社が特に標的とされていたと把握した、と説明しています。州当局へ届け出たのは Oracle ではなく日産側である点は、誤解されやすいので押さえておきたいところです。
問題の脆弱性は CVE-2026-35273 と名付けられています。Oracle 公式アドバイザリと NVD によれば、深刻度を示す CVSS スコアは10点満点中の9.8で、最高ランクに近い数字です。この欠陥はログイン認証もユーザー操作も必要とせず、HTTP 経由でネットワークに到達できれば、それだけでサーバーを乗っ取れてしまう性質を持っていました。たとえるなら、建物の全室に合う合鍵が一本出回ってしまったような状態です。
時系列も重要です。Mandiant と Google Threat Intelligence Group の調査では、攻撃の観測期間は2026年5月27日から6月9日。一方、Oracle が注意喚起を公開したのは6月10日でした。つまり修正策が世に出る前に悪用されていた「ゼロデイ攻撃」であり、対策が後手に回らざるをえない期間に攻撃が走っていたことになります。もっとも、パッチ提供前であっても、外部への露出制限や監視強化、VPN化といった緩和策でリスクを下げる余地はありました。「打つ手が皆無だった」と決めつけるのは、やや行き過ぎでしょう。
被害の広がりも見過ごせません。Mandiant は100を超える組織に通知を行ったとしています。攻撃者である ShinyHunters 自身は、100組織にまたがる300以上の PeopleSoft インスタンスを侵害したと主張していますが、この数字は攻撃者側の申告であり、第三者が一件ずつ裏取りしたものではない点には留意が必要です。教育機関への集中は顕著で、Mandiant の通知対象のうち68%が高等教育機関だったと報告されています。英国のノッティンガム大学では、Have I Been Pwned の集計でおよそ45万5000件のメールアドレスが流出データに含まれ、パスポート番号などの機微な情報まで漏れたとされています。
ここで一歩引いて考えたいのは、攻撃者の射程が「どこ」まで広がったか、という点です。かつて標的の中心は、利用者の多い消費者向けサービスでした。しかし今回浮かび上がったのは、ERP(統合基幹業務システム)や人事プラットフォームという、組織の裏側で長年分の個人情報を抱える「金庫」です。一つ破れば数百社分の情報が手に入る基幹システムは、攻撃の費用対効果という観点で、効率の良い標的になりつつあります。
恐喝グループ ShinyHunters(Mandiant は UNC6240 として追跡)は、もともと Salesforce などのクラウドサービスを狙ってきた集団として知られます。Snowflake をめぐる一連のデータ窃取でも名前が取り沙汰されてきました。その彼らが PeopleSoft という「ERP の中核」へ手を伸ばしたことは、企業が守るべき防衛線が一段奥へ移りつつある兆候とも読めます。別件では、同グループが教育向けの Instructure Canvas を攻撃し、2億7500万〜2億8000万件規模のデータを窃取したと主張、Instructure は流出阻止のため攻撃者と「合意」に至ったと報じられています(身代金支払いの有無を同社が明確に認めたわけではありません)。
なお、日産自身は ShinyHunters との直接的な関連を公式には断定していません。日産の通知書面に同グループの名前は登場せず、関連づけはあくまで攻撃期間の一致や Mandiant の帰属分析に基づくものです。現時点で同グループのリークサイトに日産は掲載されていないとも報じられています。この距離感は押さえておきたいところです。
日本の読者にとっても、決して対岸の火事ではありません。PeopleSoft は企業向けの人事給与基盤として世界的に使われてきた製品で、Oracle 自身もクラウド移行の対象として案内を続けています。今回の通知対象は米国・カナダ・メキシコ・ブラジルの従業員ですが、同種の基幹システムに依存する組織は決して少なくないはずです。「自社のセキュリティ意識」だけでは防ぎきれないリスクが、ベンダー製品の一行のコードに潜んでいる——この事実は、すべての情報システム担当者に再考を迫ります。
規制の観点では、日産が真っ先にカリフォルニア州司法長官へ届け出を提出した点に注目したいところです。同州では、一定条件で住民への通知や、500人を超える通知時の司法長官へのサンプル提出が求められます。日本でも、個人情報保護委員会への漏えい等報告(速報は概ね3〜5日以内)が義務づけられています。グローバル企業ほど複数法域の開示ルールに同時に対応する負担が増しており、透明性の確保と、過剰な不安を煽らない開示のバランスが、今後ますます問われていくでしょう。
長期的に見れば、この事案は「サプライチェーン・セキュリティ」の議論を一段深めるものになりそうです。利用者は導入したソフトの中身を逐一監査できません。だからこそ、ベンダーの脆弱性対応の速さ、攻撃前提の設計(ゼロトラスト)、そして外部に露出させない運用設計が、これまで以上に組織の生命線になります。便利さの裏側には「見えない依存」が横たわっています。それをどう管理していくか——今回の警鐘は、その問いを私たちに残しました。
【用語解説】
ゼロデイ攻撃
ソフトウェアの欠陥が修正パッチの提供より先に悪用される攻撃を指す。防御側に対応の猶予が「ゼロ日」しかない状態を意味する。今回は Oracle の注意喚起(6月10日)より前に攻撃が走っていた。
CVE-2026-35273
今回悪用された脆弱性に付けられた識別番号。Oracle PeopleSoft の PeopleTools(環境管理コンポーネント)に存在する遠隔コード実行(RCE)の欠陥で、認証もユーザー操作も不要とされる。
CVSS(共通脆弱性評価システム)
脆弱性の深刻度を0〜10で数値化する国際的な指標。今回のスコアは9.8で、最高ランクに近い「緊急」レベルにあたる。
ERP(統合基幹業務システム)
人事・給与・会計・在庫など、企業の基幹業務を一元管理するソフトウェアの総称。Oracle PeopleSoft はその代表例の一つで、長年にわたる従業員データを保持する。
ShinyHunters(UNC6240)
データ窃取と恐喝を繰り返すサイバー犯罪グループ。Mandiant は「UNC6240」という符号で追跡している。盗んだデータをリークサイトで公開し、支払いを迫る手口で知られる。
社会保障番号(SSN)
米国で個人を識別する番号。各種行政・金融手続きに使われるため、流出すると不正利用やなりすましの温床になりやすい。
ゼロトラスト
「社内ネットワークだからといって信用しない」という前提でアクセスを逐一検証する設計思想。基幹システムを外部に露出させない運用と並び、今回のような攻撃への基本的な備えとされる。
【参考リンク】
Oracle(CVE-2026-35273 セキュリティアラート)(外部)
今回の脆弱性に関する Oracle 公式アドバイザリ。CVSS スコアや影響コンポーネント、修正情報が記載されている。
NVD(CVE-2026-35273 詳細)(外部)
米国国立標準技術研究所の脆弱性データベース。スコアや攻撃条件など、第三者視点の技術情報を確認できる。
日産自動車 公式サイト(外部)
今回情報侵害を公表した日産のグローバル公式サイト。企業情報やニュースリリースを確認できる。
Mandiant / Google Cloud(脅威インテリジェンスブログ)(外部)
攻撃の分析を公開した一次情報。攻撃期間・手口・UNC6240への帰属・68%という数値の出典。
Have I Been Pwned(外部)
自分のメールアドレスが過去の漏えいに含まれるかを確認できる無料サービス。流出件数の集計元でもある。
カリフォルニア州司法長官 データ侵害報告ページ(外部)
日産が侵害通知を提出した先の公的データベース。米国内の侵害届出が一覧で公開されている。
個人情報保護委員会(漏えい等の対応)(外部)
日本における漏えい等報告の義務や手続きを案内する公式ページ。国内の制度を確認できる。
Salesforce 公式サイト(外部)
ShinyHunters が過去に標的としたクラウド CRM の最大手。本文で同グループの攻撃対象として言及される。
Instructure 公式サイト(外部)
教育向け学習管理システム「Canvas」を提供。別件で同グループの攻撃を受けたと報じられている。
【参考記事】
ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit(Google Cloud / Mandiant)(外部)
攻撃を UNC6240 に帰属させた一次情報。攻撃期間・100超の組織への通知・通知対象の68%が高等教育機関といった数値の出典。
Oracle Security Alert Advisory – CVE-2026-35273(Oracle)(外部)
脆弱性の一次情報。CVSS 9.8・認証不要・HTTP経由で悪用可能・6月10日初回リリースを公式に確認できる。
NVD – CVE-2026-35273(NIST)(外部)
第三者機関による脆弱性評価。認証不要の攻撃者がHTTP経由でサーバーを乗っ取り可能とする技術的根拠を示す。
Nissan discloses employee data breach linked to Oracle zero-day attacks(BleepingComputer)(外部)
日産の侵害公表を報じた記事。300インスタンスという攻撃者主張や、本件が同キャンペーンに関連づけられる位置づけを伝える。
University of Nottingham Data Breach(Have I Been Pwned)(外部)
ノッティンガム大学の流出データに約45万5000件のメールアドレスが含まれた点や、機微情報の漏えいを集計・記載している。
Hacked! Automotive giant Nissan discloses multi-country data breach(Cyber Daily)(外部)
日産が「数百社」の一つとして通知を受けたと報道。リークサイト未掲載やNAICの時系列も補足している。
【関連記事】
日立傘下GlobalLogicが情報漏洩を公表—ClopによるOracle EBS攻撃で10,471人に影響
Oracle の基幹システム脆弱性(CVSS 9.8)で従業員データが流出した、本記事とほぼ同型の先行事例。レガシーERPの構造的リスクを補強する。
ShinyHunters が欧州評議会を標的に|給与・人事データ42万9000件流出の脅迫、人権機関を襲う恐喝の実態
同じ ShinyHunters が人事・給与データを狙った直近事案。攻撃グループの手口と標的の性質が今回と重なる。
Salesforce標的のUNC6040・UNC6395にFBI警告 OAuth悪用で700社被害
Mandiant が UNC6240(ShinyHunters)を恐喝担当クラスターと報告した経緯を解説。同グループの追跡符号を理解する補助線になる。
【編集部後記】
正直に言うと、この記事を書きながら何度も手が止まりました。調べれば調べるほど、今回の被害者には落ち度らしい落ち度が見当たらないからです。毎日きちんと働き、決められた通りに会社へ情報を預けていた。ただそれだけの人たちが、ある日「あなたのデータが流出したかもしれません」という通知を受け取る。その理不尽さに、どう言葉を添えればいいのか、ずいぶん悩みました。
私自身、いくつものサービスに自分の情報を預けて暮らしています。銀行、勤務先、よく使うアプリ。そのどれもが「ちゃんと守ってくれているはず」という前提の上に成り立っています。でも今回の一件は、その前提がいつ揺らいでもおかしくないことを、静かに突きつけてきました。攻撃者の狙いが、私たちの目に見えるサービスの表側から、組織の裏側でデータを束ねる「金庫」へと移りつつある。この変化は、専門家だけが知っていればいい話ではないと感じています。
だからこそ、この記事を怖がらせるためだけのものにはしたくありませんでした。怖さを煽るのは簡単です。けれど、それでは読んだあとに残るのが不安だけになってしまう。知っておけば、できることはあります。パスワードを使い回さない、二段階認証を入れておく、身に覚えのない連絡には立ち止まる。どれも小さな一歩ですが、その積み重ねが、いざという時の自分を守ってくれます。
未来の技術は、間違いなく私たちの暮らしを便利にしてくれます。その恩恵を受けながら、同時に「預けたものがどこにあるのか」を時々思い出す。期待と備えは、どちらかを選ぶものではなく、両方を手に持って歩いていくものなのだと思います。皆さんはどう感じたでしょうか。












