ワシントン・ポストは、従業員および契約社員のうち約1万人に対し、個人情報および財務情報の一部が Oracle を標的としたデータ窃取攻撃で流出した可能性があるとして通知を行っています。
同社は、米国で最大級の日刊紙の一つであり、約250万人のデジタル購読者を抱えています。
7月10日から8月22日の間に、脅威アクターが同社ネットワークの一部にアクセスしました。彼らは、当時ゼロデイだった Oracle E-Business Suite ソフトウェアの脆弱性を悪用し、機密データを窃取しました。
9月下旬、ハッカーらはワシントン・ポストに対し、同様の手口で侵害した他の大企業とともに、恐喝を試みました。
ハッカーらは、ワシントン・ポストが社内で利用していた Oracle E-Business Suite ソフトウェアの、当時はゼロデイだった脆弱性を悪用してデータを盗み、9月下旬に同社を恐喝しようとしました。
Oracle E-Business Suite は、HR、財務、サプライチェーン機能を備えた広く利用されているエンタープライズ向け ERP プラットフォームであり、大規模組織が社内で利用しています。
影響を受けた個人へのワシントン・ポストからの通知によると、同社が侵害インシデントの調査を進めている最中に、Oracle がこのセキュリティ脆弱性を開示したとのことです。
「2025年9月29日、ポストは、自身が Oracle E-Business Suite アプリケーションへのアクセス権を得たと主張する不正行為者から連絡を受けました」と、書簡には記されています。
「これを受けて、ポストは専門家の支援を得て Oracle アプリケーション環境の徹底的な調査を開始し、その環境が不正にアクセスされていないかどうかを確認しました。」
「調査の過程で、Oracle は、自社の E-Business Suite ソフトウェアにおいて、以前は知られていなかった広範な脆弱性を特定したと発表しました。この脆弱性により、不正な行為者が多くの Oracle 顧客の E-Business Suite アプリケーションにアクセスできる状態になっていました。」
書簡の中で攻撃者の名前は明かされていませんが、Clop ランサムウェアグループが、この攻撃で悪用されたゼロデイ脆弱性(現在は CVE-2025-61884 として追跡)と関連付けられています。
同じ Oracle E-Business Suite の脆弱性を悪用して侵害された組織には、ハーバード大学、アメリカン航空の子会社であるEnvoy Air、そして日立傘下のGlobalLogicなどがあります。
これらは、侵害を確認した、あるいは自社環境での不審な活動を調査中であると公表している被害組織の一部に過ぎません。しかし、Clop のデータ流出サイトには、さらに多くの侵害組織が掲載されています。
ポストによる本件の調査は10月27日に完了し、その結果、9,720人の従業員および契約社員に関する以下の種類のデータが侵害されたことが判明しました。
- 氏名(フルネーム)
- 銀行口座番号およびルーティング番号
- 社会保障番号(SSN)
- 税務および身分証明番号
影響を受けた個人には、IDX による12か月間の無料の本人確認保護サービスが提供されており、信用情報へのセキュリティフリーズの実施や、信用情報報告書への不正利用アラートの設定を検討するよう推奨されています。
6月には、ワシントン・ポストは、複数の記者のメールアカウントが、外国政府系アクターによるサイバー攻撃で侵害されていたと発表しました。
この2件のインシデントは短期間のうちに発生しましたが、両者の間に関連性を示す証拠は見つかっていません。
BleepingComputer は、追加の質問を添えてワシントン・ポストに問い合わせており、回答が得られ次第、本記事を更新する予定です。
