Cl0pによる高等教育機関への猛攻が続く中、さらに2つの機関がエンタープライズソフトウェアの脆弱性の代償に直面
2025年12月19日
エグゼクティブサマリー
フェニックス大学とベイカー大学は、CVE-2025-61882――2024年後半から2025年にかけて高等教育機関に壊滅的な影響を与えてきたOracle E-Business Suiteのゼロデイ――の悪用に起因する侵害を確認した最新の教育機関となった。
両機関の学生、職員、教員、サプライヤーに影響したこれらの事案は、私たちが以前にサイバーセキュリティ史上最も重大なサプライチェーン攻撃の一つとして記録した事象の継続的な余波を示している。アイビーリーグ校がCl0pのキャンペーンの最初の打撃を受けた一方で、今回の新たな開示は、機関の規模、名声、地理的条件が高度なゼロデイ悪用に対する防御にならないことを証明している。
これらの侵害が特に注目に値するのは、そのタイミング――いずれもOracleが10月に緊急パッチをリリースした後の、2024年11月下旬から12月に発生した――と、その範囲であり、ベイカー大学では近年の高等教育機関の事案の中でも最も包括的なデータ露出の一つが発生した。
フェニックス大学の事案:パッチ適用後の侵害
発見と開示のタイムライン
フェニックス大学の侵害は、Oracleが2024年10月4日に緊急パッチをリリースした後に発生した点で特に重要である。2024年11月21日、Cl0pランサムウェアグループは同大学をダークウェブのリークサイトに追加した。これは被害者に恐喝要求の支払いを迫るために同グループが用いる、公の晒し上げ戦術である。
BleepingComputerの報道によれば、フェニックス大学は、攻撃者がCVE-2025-61882を悪用して、同機関のOracle E-Business Suite財務アプリケーション環境内の個人情報および金融情報にアクセスしたことを確認した。大学の親会社は、証券取引委員会(SEC)に8-Kを提出し、このセキュリティ事案を説明するとともに、影響を受けた記録の精査が継続中であると述べた。
パッチ適用後の問題
この侵害が、ダートマス大学(2024年8月9〜12日に侵害)のような初期の被害者と異なるのは、タイムラインである。Oracleは2024年10月4日に緊急パッチをリリースした。フェニックス大学がCl0pのリークサイトに追加されたのは2024年11月21日――パッチが利用可能になってから約7週間後である。
これにより、重大な疑問が生じる:
- 大学は10月のパッチを適時に適用できなかったのか?
- 初期侵害は10月以前に発生し、発見が11月まで遅れたのか?
- 攻撃者はパッチ適用前から環境内に侵入しており、永続的なアクセスを維持していたのか?
- 大学は緊急Oracleアップデートの展開に課題を抱えていたのか?
大学はこれらの疑問に公に回答していないが、タイムラインだけでも、複雑なエンタープライズシステムに緊急パッチを迅速に展開する際に機関が直面する困難さを示している。
何が侵害されたのか
露出したデータには、個人情報と金融情報が壊滅的に組み合わさって含まれている:
- 氏名および連絡先情報
- 生年月日
- 社会保障番号
- 銀行口座情報
- 学生、職員、教員、サプライヤーに属する記録
大学は現在、露出した記録の全容を精査しており、郵送で送付する通知の準備を進めている。影響を受けた個人の総数も、攻撃者に関する追加の詳細も、Cl0pによるものだという帰属情報以外は公表されていない。
なぜOracle EBSが標的になったのか
Oracle E-Business Suite環境は通常、調達、給与、買掛金、学生向け財務ワークフローなど、重要な業務機能を支えている。この機微なデータの集約により、EBSの導入環境はデータ窃取型恐喝を行う脅威アクターにとって特に魅力的な標的となる。
Deep InstinctのCIOであるCarl FroggettはThe Recordに対し、次のように説明した。「高等教育機関は、フルスケールのサイバー防衛オペレーションとして機能するように作られてはいない。それでも、既知・未知の脅威の双方から、研究、学生、従業員、運用データを守ることが期待されている。」
彼の警告は従来のセキュリティ境界を超えている。「攻撃対象領域はもはや自分の環境だけではない。依存しているあらゆる環境がそうなのだ。」
ベイカー大学:小規模な機関でも、同じく壊滅的な影響
2024年12月の攻撃
ベイカー大学の経験は、機関の規模が高度な脅威アクターに対する防御にならないことを示している。2024年12月、カンザス州の小規模なリベラルアーツ・カレッジである同大学は、不審な活動を発見し、それがネットワーク停止につながった――これが重大な侵害の最初の兆候だった。
調査の結果、2024年12月2日から12月19日の間に、特定のシステムへの不正アクセスがあったことが判明した。専任のセキュリティチームを持つ大規模機関とは異なり、ベイカーはインシデント対応と侵害されたシステムの再構築を行うために、外部のサイバーセキュリティ専門家に大きく依存した。
露出した情報の範囲
ベイカー大学で侵害された可能性のあるデータは、包括的ななりすまし(ID)窃取ツールキットのような内容である:
- 氏名および生年月日
- 運転免許証番号
- 金融口座情報
- 健康保険情報
- 医療情報
- パスポート情報
- 社会保障番号
- 学生識別番号
- 納税者番号
ベイカー大学学長のJody Fournierは侵害について直接言及した。「ベイカー・コミュニティの個人情報の機密性、プライバシー、セキュリティは、本学にとって最優先事項の一つです。私たちのチームは本件発生以来、サイバーセキュリティ企業の外部専門家チームと協力して取り組んでおり、サイバー事案の際に侵害された主要プラットフォームの一つを再構築しました。」
対応と是正
ベイカーは、影響を受けた個人に対して無料のクレジット監視サービスを提供しており、同様の事案を防ぐための追加のセキュリティ対策を実装した。大学は州および連邦の規制当局にも通知しているが、当局者は、侵害されたデータを用いた実際の、または未遂のなりすまし(ID)窃取や詐欺の証拠は現時点でないと述べた。
同機関は、影響を受けた個人が詳細情報を得られるよう、専用ホットライン(1-844-948-2042)を設置した。
CVE-2025-61882を理解する:大規模侵害を可能にした脆弱性
この脆弱性の技術的詳細に馴染みのない読者のために、私たちはCl0pが使用したCVE-2025-61882の包括的な技術分析と完全なエクスプロイトチェーンを公開している。要点は以下のとおり:
重大度:クリティカル:CVSSスコア9.8/10――ほぼ最大の深刻度 攻撃要件:認証不要;HTTP経由で悪用可能 影響を受けるバージョン:Oracle E-Business Suite 12.2.3〜12.2.14 脆弱性の所在:Oracle Concurrent Processing内のBI Publisher Integrationコンポーネント
このエクスプロイトにより、攻撃者は次のことが可能になった:
- サーバーサイド・リクエスト・フォージェリ(SSRF)により認証を回避
- 悪意のあるXSLTテンプレートをXML Publisherにアップロード
- テンプレートのプレビュー時に任意コードを実行
- 攻撃者インフラへのリバースシェル接続を確立
ダートマス大学の侵害に関する分析で詳述したとおり、この脆弱性によりCl0pは、従業員の操作や認証情報の窃取を必要とせず、脆弱なOracle EBSバージョンを稼働させている組織を侵害できた。攻撃は、Oracleのコードに対する技術的悪用のみで成功した。
タイムラインの文脈:
- 2024年7月:最も早い偵察活動が検知される
- 2024年8月9日:最初の侵害が確認(ダートマス大学)
- 2024年10月4日:Oracleが緊急パッチをリリース
- 2024年11〜12月:フェニックス大学とベイカー大学の侵害が発見される
地域大学および営利大学が固有の課題に直面する理由
アイビーリーグの侵害流行に関する私たちの報道では、なぜエリート機関が標的になったのかを掘り下げたが、フェニックス大学とベイカー大学の侵害は、異なるリソース特性を持つ機関が直面する課題を浮き彫りにしている:
営利大学におけるセキュリティの課題
米国最大級の営利高等教育機関の一つであるフェニックス大学は、固有の運用上の現実に直面している:
