Oracle EBS攻撃の被害者は予想以上に多い可能性

出典：Kristoffer Tripplaar／Alamy Stock Photo

最近のOracle EBS攻撃の標的となった企業リストには、シュナイダーエレクトリック、Pan American Steel、Cox Enterprisesも含まれている可能性があります。

今月初め、悪名高いランサムウェア・アズ・ア・サービス集団Clopが、重大なOracle E-Business Suite（EBS）のゼロデイ脆弱性CVE-2025-61882の影響を受けた顧客を標的にしました。この脆弱性により、認証されていない攻撃者がリモートでOracle Concurrent Processingにアクセスし、侵害することが可能です。この脆弱性を悪用すると、データ窃取や恐喝などの二次的な活動につながる可能性があります。そして今回、初期の恐喝事例が、このゼロデイが明るみに出た理由の一つとなっています。

CVE-2025-61882に対するパッチは提供されています。アドバイザリによると、Oracleは脆弱な顧客に対し、できるだけ早く関連するセキュリティアップデートを適用するよう強く推奨しています。

Clopは以前、2023年のキャンペーンでProgress SoftwareのMOVEit Transferマネージドファイル転送（MFT）ソフトウェアのゼロデイ脆弱性を標的にした攻撃や、Cleoの顧客に対する攻撃で知られています。Clop以外にも、Google Threat Intelligence Group（GTIG）は金銭目的の脅威グループFIN11（以前Clopと関係あり）が関与している可能性を示唆していますが、Googleはより具体的な証拠が得られるまで明確な帰属は控えています。

Oracle EBS被害者リストが拡大

ClopによるOracle EBS顧客への攻撃で何人の被害者が侵害されたかは不明ですが、今月の間にハーバード大学など、いくつかの組織が攻撃を認めています。Clopのデータリークサイトや研究者の報告によると、シュナイダーエレクトリック、Cox Enterprises、Pan American Silverといった業界大手も影響を受けている可能性があります。

X上で、サイバーセキュリティアナリスト兼研究者のドミニク・アルヴィエリ氏は、エネルギー管理ベンダーのシュナイダーエレクトリックSEの盗まれたデータがFIN11によってClopランサムウェア経由でリークされたと述べました。アルヴィエリ氏はまた、同様に、上場鉱山会社のPan American Silverおよび通信大手のCox EnterprisesがClopによるCVE-2025-61882攻撃の標的になったと述べており、両社ともClopのリークサイトに追加されています。

シュナイダーエレクトリックは残念ながら、サイバー攻撃を主張する脅威アクターにとっては見慣れた存在です。Clopは以前、2023年のMOVEit攻撃の一環としてこのフランスの多国籍企業への攻撃を主張しており、Hellcatとして知られるグループも昨年シュナイダーの侵害を主張しています。一方、Cox Enterprisesの子会社Cox Media Groupも2021年にハッカーの標的となっています。

Dark Readingは3社すべてにコメントを求めましたが、記事執筆時点ではいずれも回答はありませんでした。

Oracle EBS被害の今後は不透明

このキャンペーンの正確な被害範囲は特定が難しく、Clop（そもそも単独では信用できない）は今もデータリークサイトに名前を追加し続けており、ハーバード大学やEnvoy Air（アメリカン航空の子会社）など、わずかな組織しか攻撃を公表していません。

その間にも、Oracle EBSインスタンスにまだパッチを適用していない組織は、直ちに対応すべきです。

FBIサイバー部門は今月初めにLinkedInへの投稿で率直に述べています。「この脆弱性は、認証されていない攻撃者がユーザーの操作なしにHTTP経由でリモートからコードを実行できるものです。簡単に言えば、EBS環境がネットワーク上で到達可能で、特にインターネットに公開されている場合、完全な侵害のリスクがあります」と投稿は述べています。「これは『今すぐ作業を中断してパッチを適用せよ』という脆弱性です。悪意のある者はすでに実際に悪用している可能性が高く、他の者が脆弱なシステムを特定して標的にする前に競争が始まっています。」