セキュリティ

SECURITY

公開：2025-04-24

【CVE-2025-30697】Oracle PeopleSoft Enterprise PeopleToolsに重大な脆弱性、データの不正アクセスや改ざんのリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PeopleSoft Enterprise PeopleToolsにネットワーク経由の脆弱性
• 影響を受けるバージョンは8.60、8.61、8.62
• データの不正な読み取りや変更が可能になる脆弱性

Oracle PeopleSoft Enterprise PeopleToolsの重大な脆弱性

Oracleは2025年4月15日、同社のPeopleSoft Enterprise PeopleToolsにおいてPanel Processorコンポーネントに関する脆弱性を公開した。この脆弱性は低権限の攻撃者がHTTPを介してネットワークアクセスを行うことで、PeopleSoft Enterprise PeopleToolsを侵害する可能性があることが判明している。^[1]

攻撃を成功させるには攻撃者以外の人間による操作が必要となるものの、PeopleSoft Enterprise PeopleToolsの脆弱性は他の製品にも重大な影響を及ぼす可能性がある。この脆弱性が悪用された場合、PeopleSoft Enterprise PeopleToolsのアクセス可能なデータに対する不正な更新、挿入、削除、および一部データの不正な読み取りが可能になる。

本脆弱性のCVSS 3.1基本スコアは5.4で、機密性と完全性への影響が指摘されている。CVSSベクトルは「CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N」となっており、攻撃者がネットワーク経由でアクセスできる可能性があることを示している。

PeopleSoft Enterprise PeopleToolsの脆弱性詳細

CVSSスコアについて

CVSSスコアとは、Common Vulnerability Scoring Systemの略で、情報セキュリティ上の脆弱性の深刻度を評価するための標準的な手法である。主な特徴として、以下のような点が挙げられる。

• 0.0から10.0までの数値で脆弱性の深刻度を表現
• 攻撃の容易さや影響範囲を考慮した評価基準
• ベクトル文字列による詳細な脆弱性情報の共有が可能

今回のPeopleSoft Enterprise PeopleToolsの脆弱性では、CVSSスコアが5.4と評価されており、これは中程度の深刻度を示している。このスコアは、攻撃に特権が必要であることや人間の操作が必要となる点を考慮して算出されており、即時の対応が推奨される脆弱性であることを示唆している。

PeopleSoft Enterprise PeopleToolsの脆弱性に関する考察

今回発見された脆弱性は、攻撃者以外の人間による操作が必要という制限があるものの、一度攻撃が成功すると重要なデータへのアクセスや改ざんが可能になる点で深刻な問題である。特に企業の基幹システムとして広く利用されているPeopleSoftでは、人事データや財務情報など機密性の高いデータが扱われることが多く、情報漏洩のリスクが非常に高いと言えるだろう。

この脆弱性への対策として、ユーザー認証の強化やアクセス権限の見直しが重要となってくる。特に人間の操作を必要とする攻撃では、ソーシャルエンジニアリングの手法が使用される可能性が高いため、従業員へのセキュリティ教育や不審なリクエストへの対応手順の整備が急務となるだろう。

長期的な対策としては、システムの定期的な脆弱性診断や監査ログの監視強化が必要不可欠である。また、影響を受ける可能性のある他の製品との連携部分についても、セキュリティ評価を実施し、必要に応じて設計の見直しを検討する必要があるだろう。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-30697」. https://www.cve.org/CVERecord?id=CVE-2025-30697, (参照 25-04-24).
1796
2. Oracle. https://www.oracle.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧