デジタルエンジニアリングおよびプロダクトデザイン企業であるGlobalLogicは、Oracle E-Business Suiteのゼロデイ脆弱性に関連した大規模なデータ窃取および恐喝キャンペーンの影響を受けたと発表しました。
2021年に日立に買収され、現在約600社の顧客を持つ同社は、金曜日にカリフォルニア州およびメイン州の当局にデータ侵害通知を提出しました。GlobalLogicによると、この攻撃により約10,500人の現職および元従業員の人事データが漏洩したとのことです。
GlobalLogicは、Clopランサムウェアグループに関連する攻撃者によって標的とされた多くのOracle顧客の一つであり、同グループはエンタープライズプラットフォームに影響を与えるゼロデイ脆弱性を悪用して、7月以降大量のデータを窃取していました。Google Threat Intelligence Groupの主任アナリストであるJohn Hultquist氏は以前CyberScoopに数十の組織が影響を受けたと語っています。
GlobalLogicは、10月9日にデータ侵害を発見し、調査の結果、最初の侵害は7月10日に発生したことを特定しました。最新の悪意ある活動は8月20日に発生したと同社は述べています。
「このインシデントはGlobalLogicのOracleプラットフォーム以外のシステムを標的としたものではなく、業界の報告によれば、当社は影響を受けた多くのOracle顧客の一つと考えられています」と、影響を受けた人々に送付された通知書で同社は述べています。GlobalLogicはコメント要請にすぐには応じませんでした。
攻撃によって漏洩したデータには、氏名、住所、電話番号、緊急連絡先情報、メールアドレス、生年月日、国籍、パスポート情報、社内従業員番号、社会保障番号などの税識別子、給与情報、銀行口座情報およびルーティング番号が含まれると、GlobalDataは伝えています。
影響を受けたことを発見した後、GlobalLogicは直ちにインシデント対応手順を発動し、法執行機関に通知し、調査を支援するために外部企業と連携したと述べています。「また、Oracleから脆弱性修正パッチがリリースされ次第、速やかに適用しました」と同社は述べています。
Oracleは、Oracle E-Business Suiteに影響を与えるゼロデイ脆弱性 — CVE-2025-61882 — について10月4日のセキュリティアドバイザリで公表し、パッチを提供しました。また、一部の顧客が恐喝メールを受け取っていることも把握していたと述べています。
ゼロデイ脆弱性だけがOracleおよびその顧客が直面した問題ではありませんでした。Clopは、ゼロデイを含む複数の脆弱性を悪用し、Oracle E-Business Suiteから複数の被害者の大量のデータを窃取したと、Mandiant ConsultingのCTOであるCharles Carmakal氏は述べています。
攻撃が発生してからOracleが公表するまでの大きなタイムラグは、Clopが数か月にわたりOracle E-Business Suiteの顧客環境に侵入し、データを盗み出していたことを示しています。研究者たちは、被害を受けたとされる組織の幹部が恐喝メールを受け取るまで、これらの攻撃に気付いていませんでした。
Clopの身代金要求は最大5,000万ドルに達したとHalcyonは伝えています。「これまでに7桁や8桁の要求を確認しています」と、Halcyonのランサムウェア研究センター上級副社長であるCynthia Kaiser氏は先月CyberScoopに語りました。
Clopのデータリークサイトには先週時点で約30の被害者が掲載されていました。この悪名高いランサムウェアグループは、支払いがなければ被害者のデータを公開すると脅迫しています。
その被害者の一つであるEnvoy Air(アメリカン航空の子会社)は、攻撃の影響を受けたことを認めました。
「問題となったデータを徹底的に調査し、機密情報や顧客データが影響を受けていないことを確認しました。ごく一部の業務情報および商業連絡先情報が漏洩した可能性があります」とEnvoy Airの広報担当者は声明で述べています。
GlobalLogicは、攻撃後にOracleの推奨する緩和策を実施し、さらにセキュリティ強化のための追加措置を講じたと述べています。
翻訳元: https://cyberscoop.com/globallogic-oracle-clop-attacks/
