ダートマス大学は、ClopによるOracle E-Business Suite(EBS)を標的とした強奪攻撃の最新の被害者となったことを認めた。
メイン州司法長官に提出された侵害通知によると、ニューハンプシャー州のアイビーリーグ校である同大学は、犯罪者がOracle EBSのゼロデイ脆弱性(現在は修正済み)を悪用し、8月9日から8月12日の間に同大学の環境からデータを持ち去ったと述べている。ダートマスの調査では、少なくとも1,494人のメイン州居住者の氏名、社会保障番号(SSN)、そして場合によっては金融口座情報が盗まれたことが判明しているが、全体で何人が影響を受けたかは明らかにしていない。
通知書によれば、ダートマスは直ちにシステムを保護し、法執行機関に通報、その後3日間の攻撃期間中に複数のファイルが流出していたことを確認した。同大学は11月24日に通知書の送付を開始し、SSNが流出した人々に対しては1年間のクレジットモニタリングを提供している。
ダートマスの認定により、すでに明らかになっていた事実が裏付けられた。すなわち、ClopによるOracle EBS襲撃は、多数の被害者を生んだ大規模キャンペーンだったということだ。今月初め、ワシントン・ポスト紙は、同じ攻撃の波に巻き込まれた従業員および契約業者がほぼ1万人に上ると報じており、その前には日立傘下のGlobalLogicやAllianz UKなどからも被害確認の発表が相次いでいた。
今週初めには、Cox Enterprisesも被害企業として名乗りを上げ、Clopが約1万人分の個人データを奪ったと明らかにした。
Clopの手口は、もはやおなじみのものとなっている。ロシアとつながりのあるこのサイバー犯罪グループは、広く導入されているエンタープライズ向けプラットフォームを繰り返し標的にし、ゼロデイ脆弱性を工業規模で叩き続け、その後は暗号化ではなくデータ窃取をテコに被害者を恐喝する。EBSを狙った今回のキャンペーンも例外ではなかったようで、被害者数は今も増え続けている。
まるでOracleユーザーにさらなる悪い知らせが必要であるかのように、Oracle Identity Managerに存在する別のアクティブに悪用されているゼロデイ脆弱性が、今週CISAの「既知の悪用脆弱性」カタログに追加された。この欠陥(CVE-2025-61757)は、研究者らがOracleによる修正提供の数カ月前から攻撃者による実際の悪用を確認したことを受け、連邦機関に対して12月12日までのパッチ適用を義務付ける評価を受けた。これは、Oracleを利用する組織が依然として「高価値ターゲット」であることを改めて示すものだ。
ダートマスは影響を受けた個人に対し、今回のインシデント後にOracleが公開した「すべての利用可能なパッチ」を適用済みであり、今後はベンダーのセキュリティ対策に対する監督も強化していくと説明している。
しかし、メイン州での件数以外にどこまで被害が広がっているのか、その全容はいまだ不明であり、同大学の通知内容からは他地域でのさらなる情報流出も示唆されている。
Oracle EBSの被害件数が増え続けるなか、ダートマスの開示は、長く混乱した行列に新たに加わった一件に過ぎない。そして、Oracle環境を運用している組織は、今後その列に自らの名が連なる可能性も否定できない。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/25/clop_dartmouth_college/
