ペンシルベニア大学は、OracleのE-Business Suite(EBS)利用企業を標的としたClopの「強奪」攻撃の最新の被害者となり、同大学は現在、システムから個人データが抜き取られたとして、1,000人以上の関係者に警告を発しています。
メイン州司法長官に提出されたデータ侵害通知書の中で、ペン大は、攻撃者がOracle EBSのゼロデイ脆弱性を悪用したと説明しています。この脆弱性は、Clopが世界中の数百の組織を襲撃するために悪用したと自慢していたものと同じであり、同大学が「サプライヤーへの支払い、経費精算、総勘定元帳の記帳、その他の大学業務」を行うために利用している同プラットフォームのインスタンス内に保存されていたデータが持ち去られました。
ペン大は調査を開始し、Oracleが修正パッチを公開した後に自らのシステムを更新し、連邦法執行機関にも通報しました。同大学によると、11月11日にシステムから個人データが盗まれていたことを突き止めたとのことです。
12月1日に提出された通知書によれば、1,488人のメイン州在住者が被害に含まれていたことが確認されていますが、被害者の総数は明らかにされていません。侵害されたデータの内容については、規制当局向けに提出されたテンプレート内で目立つ形で黒塗りにされており、どの種類の個人情報が持ち去られたのかは不明なままです。The Registerは詳細を求めてペン大に問い合わせましたが、掲載時点までに回答は得られていません。
ペン大の開示は、ダートマス大学が同じOracle EBSのゼロデイの被害に遭ったことを認めてから、わずか1週間後のことです。アイビーリーグ仲間である同大学は、自身の提出書類の中で、調達および支払いシステムに関連するファイルに悪意ある第三者がアクセスしたと述べており、今年初めにこのギャングが侵害されたOracle EBS環境からサンプルを流出させ始めた際に初めて確認されたパターンが続いている形です。
当時、Clopはパッチ未適用のOracle EBSサーバーを大規模に悪用したと豪語し、侵害したとされる数十の組織からサンプルを公開していました。セキュリティ研究者によれば、ロシアと関係があるとされるこのグループは、データベース大手であるOracleが10月4日にCVE-2025-61882として追跡されるこの脆弱性の修正パッチを慌てて公開する、はるか以前の8月初旬から、Oracle EBS環境への襲撃を続けていたといいます。
ペン大の通知書は、他の大学による開示で見られたのと同じパターンに従っています。すなわち、Oracle EBSデータへの不正アクセスを認め、「悪用の証拠はない」とする説明を行い、Experianによる2年間のクレジットモニタリングサービスの提供を申し出る、というものです。同大学は、盗まれた情報が公に開示されたり、不正行為に利用されたりしたと信じる理由はないとしつつも、念のため、受信者に対して金融取引明細や政府からの通知に注意を払うよう呼びかけています。
通知書ではまた、ペン大が「将来の不正アクセスのリスクを軽減するためにシステムを強化する」べくサイバーセキュリティ専門家と協力していること、そしてこの侵害に関する連邦当局の捜査に引き続き協力していることも明らかにしています。他の被害組織と同様に、Oracleのパッチはすでに適用済みであることが強調されています。
ペン大が被害者総数や侵害されたデータの分類を伏せていることが、特に厄介な事後対応を示しているのかどうかは、まだ分かりません。現時点では、この大学もまた、Clopによる最新の産業規模の「収穫」の後始末に追われるEBS顧客の長いリストに名を連ねたに過ぎません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/02/clop_university_of_pennsylvania/
