アメリカン航空の子会社であるエンヴォイ・エアは、オラクルのE-Business Suite(EBS)エンタープライズ管理ソリューションを利用する組織を標的とした最近のサイバー犯罪キャンペーンの影響を受けたことを確認しました。
アメリカン航空は先週末、Cl0pランサムウェアグループのTorベースのリークウェブサイトに掲載されました。オラクルEBSキャンペーンはCl0pの名のもとに主張されており、FIN11として知られるサイバー犯罪グループと関連付けられています。
記事執筆時点で、サイバー犯罪者たちはアメリカン航空から盗んだとされるデータ(合計26GB以上のアーカイブファイル)を公開しています。
ハッカーたちはリークウェブサイトでアメリカン航空の名を挙げていますが、実際にはエンヴォイ・エアが使用するオラクルEBSインスタンスが標的となったようです。
テキサス州に拠点を置くエンヴォイ・エアは、自社をアメリカン航空最大の地域航空会社とし、アメリカン・イーグルブランドのもとで160以上の目的地に毎日800便以上を運航していると説明しています。
メディアへの声明で、エンヴォイはオラクルEBSキャンペーンの影響を受けたことを認めましたが、調査の結果、顧客やその他の機微なデータは侵害されていないと述べました。
エンヴォイは、「限られた量の業務情報および商業用連絡先情報が侵害された可能性がある」と認めています。
ハーバード大学は、オラクルEBSハッキングの最初の確認被害者でした。その後、南アフリカのウィットウォーターズランド大学(ヨハネスブルグ)など、他の組織もCl0pのリークウェブサイトに掲載されています。
南アフリカの同大学は、自身のウェブサイトに掲載した声明で標的となったことを認めており、攻撃の結果、どのデータが侵害されたかを特定する作業を進めていると述べています。ハッカーたちはすでにウィットウォーターズランド大学から盗んだとされるファイルを公開しています。
Cl0pのサイトには産業大手エマソンも掲載されていますが、記事執筆時点ではデータは流出していません。SecurityWeekはエマソンにコメントを求めています。
オラクルEBSキャンペーンの被害者数十社が、攻撃者から恐喝メールを受け取っています。現在Cl0pのウェブサイトに掲載されている組織は、身代金の支払いを拒否したものとみられます。
オラクルキャンペーンはCl0pおよびFIN11と関連付けられていますが、GoogleのMandiantはFIN11の傘下に複数の脅威クラスターを追跡しており、どのクラスターが攻撃の背後にいるのかは明確ではありません。
また、今回の攻撃でどのオラクルEBSの脆弱性が悪用されたのかも不明です。オラクルは当初、7月に修正された既知の脆弱性が関与していると述べ、その後、このキャンペーンで悪用されたとみられるゼロデイ(CVE-2025-61882)向けのパッチを発表しました。また、同社は機微なデータが流出する別のEBSの脆弱性CVE-2025-61884も修正しましたが、これも悪用されたかどうかは明らかにしていません。
翻訳元: https://www.securityweek.com/american-airlines-subsidiary-envoy-air-hit-by-oracle-hack/
