Oracle E-Business Suiteのユーザーが、機密ERPデータの窃盗を主張するスピアフィッシングメールの標的になっています。Cl0pによるものかどうかに関わらず、専門家はその危険性を警告しています。
Oracle E-Business Suiteのユーザーは要注意です。ハッカーがあなたの機密データを盗んだ可能性があります(あるいは盗んでいないかもしれません)。
Halcyon、Google、Mandiantの研究者は、悪名高く成功を収めているCl0pギャングと「高い確率で」関係があるとみられる脅威アクターの活動を追跡していることを確認しました。この脅威アクターは、Oracle E-Business Suite ERPシステムから機密データを盗んだと主張するメールを様々な経営幹部に送信しています。
Halcyonのランサムウェア研究センターSVPであるCynthia Kaiser氏によると、この活動は2025年9月29日「以前またはその日」に始まったとされ、脅威アクターは最大5,000万ドルにも及ぶ7桁・8桁の身代金を要求しています。彼らは、スクリーンショットやファイルツリーなどの侵害証拠を提示して主張を裏付けています。
「これは進行中の状況です」とKaiser氏はCSO Onlineに語りました。「複数の企業で複数の恐喝行為が確認されており、ITリーダーやCレベル幹部への直接的なアプローチも含まれていることから、このキャンペーンは単一の被害者だけを標的にしているわけではありません。」
Oracleは追加の詳細を提供しませんでしたが、CSOのRob Duhart氏は木曜日のブログ投稿で、Oracleがこれらの恐喝メールを「認識しており」、現在「継続的な調査」を行っていると述べました。攻撃者は、同社が7月のクリティカルパッチアップデートで対処した既知の脆弱性を利用している可能性があるとし、Oracleは顧客に対しこれらのアップデートを適用することを「強く推奨する」と改めて述べました。
Cl0pの仕業なのか?判断は難しい
Oracle E-Business Suite(EBS)は、テック大手によれば世界中の数千の組織で利用されているエンタープライズリソースプランニング(ERP)システムです。
Halcyonによると、ランサムウェアオペレーターはインターネットに公開されたEBSポータルのローカルログインページ(AppsLocalLogin.jsp)を通じて被害者を「積極的に恐喝」しています。ユーザーのメールを侵害した後、攻撃者はデフォルトのパスワードリセット機能を悪用して有効な認証情報を取得します。ローカルアカウントは企業のシングルサインオン(SSO)制御を回避し、多くの場合多要素認証(MFA)が欠如しているため、「数千」の組織が危険にさらされています。
Kaiser氏によると、標的となった組織は、EBSポータルのスクリーンショットや侵害された環境のファイルツリーリストなど、恐喝の主張を裏付けるサンプルを受け取っています。戦術や恐喝の手法は過去のCl0pキャンペーンと一致しており、データリーク集約サイトも「主張を補強」しています。彼女は、このグループが脆弱性を悪用しているのではなく、設定を悪用しているようだと強調しました。
このグループが送信する悪意のあるメールにはハッカーの連絡先情報が含まれており、Cl0pのデータリークサイトには2つの特定のアドレスが公開されています。少なくとも1つのアカウントは、ランサムウェアや恐喝戦術で知られる金銭目的の脅威グループFIN11と関連付けられています。
当初、研究者たちはこのグループが本当に自称通りの存在かどうか懐疑的でした。MandiantのCTOCharles Carmakal氏は、サイバー犯罪における帰属は「しばしば複雑」であり、脅威アクターがより悪名高いアクターを模倣して影響力や圧力を高めることがあると指摘しました。
最終的に、「このスピアフィッシング攻撃キャンペーンは、データ窃盗の可能性や脅威だけでなく、ビジネスを支える極めて重要なシステムを狙っている点で危険です」とErik Avakian氏(Info-Tech Research Groupの技術カウンセラー)は述べています。「給与、ベンダー請求書、契約書、機密性の高い人事情報などの高価値データは、脅威アクターにとって格好の標的です。」
経営幹部:軽率に対応しないこと
この攻撃には共通脆弱性識別子(CVE)はありません。Halcyonによれば、「特定の脆弱性ではなく、設定やデフォルトのビジネスロジックの悪用が原因」です。
同社は、組織に対しEBSポータルが(https:///OA_HTML/AppsLocalLogin.jsp#経由で)公開されていないか確認し、公開されている場合は直ちにアクセス制限を行うよう助言しています。また、すべてのアカウントでMFAを強制し、EBSへのインターネットアクセスを削除または「厳格に制御」し、トラフィックを中継する強化されたリバースプロキシを使用すること、パスワードリセット機能を無効化または安全にし、二次認証を必須とすること、異常なログインやリセット試行を監視すること、アンチランサムウェアツールを導入することが重要です。
標準的な対策として、組織は特に経営幹部に対し、脅威アクターの手口について教育し、システム名を挙げて恐怖や緊急性を煽るメール、テキスト、電話に自然と警戒心を持つよう訓練すべきだとInfo-TechのAvakian氏は助言しています。特に経営幹部は、脅迫的なメッセージを受け取った際に「軽率に対応しない」ことが重要です。
さらに、セキュリティチームは調査・検証を行い、データの持ち出しが成功した証拠がないか確認すべきです。これにはログの調査や、異常なクエリや大量データのエクスポートの有無の確認が含まれます。
「この種の攻撃は、組織が監視を強化し、特にOracle EBSのようなミッションクリティカルなアプリケーションを中心にゼロトラスト原則を適用する機会となります」と彼は助言しています。
脅威アクターは戦術を変化させている
Halcyonによれば、Cl0pは2019年2月に登場し、急速に多産で金銭的にも成功したランサムウェアオペレーションとしての地位を確立しました。このグループは5億ドル以上の恐喝支払いを得ており、世界中で11,000以上の組織を侵害しています。
このグループの手口は、企業ネットワークに侵入しデータを盗み、ランサムウェアを展開して暗号化することです。最も注目された行為の一つは、2023年のMOVEitゼロデイ脆弱性の悪用でした。
今回の最新攻撃は、Avakian氏によれば、ランサムウェアを使わない恐喝への戦術転換の可能性を示しています。また、ハッカーは「戦術をいつでも変えることができ、しばしばそうしている」とも指摘しています。
このキャンペーンはまた、ハッカーがリーダーシップ層や特定の製品・アプリケーションを直接狙い、最大限の圧力をかけるという重要なパターンを明らかにしています。「攻撃者が主張するデータを実際に持っていなくても、恐怖や緊急性を利用してリーダーシップ層に圧力をかけている」とAvakian氏は述べています。
Oracleの対応ミスが原因かもしれない
David Shipley氏(Beauceron Security)によれば、この事例はPRの観点から「非常に興味深い」といいます。今年初め、Oracle Healthでデータ侵害が報じられた際、多くの懸念が提起されました。同社は攻撃の隠蔽を訴訟で非難され、ユーザー名、パスキー、暗号化パスワードが侵害された可能性を顧客に通知する事態となりました。
この不十分なコミュニケーションが「膨大な不確実性、恐怖、不信感」を生み出し、「有害な後遺症」をもたらしたとShipley氏は述べています。
「同社のコミュニケーションがあまりにも混乱を招いたため、人々は何を信じてよいかわからなくなっています」と彼は言います。これは脅威アクターにとって「大きなチャンス」であり、不信感が強いほど、組織は侵害が本物だと考え、恐喝要求に屈する可能性が高まります。
最終的に、この事例は企業が明確なコミュニケーション計画を持ち、侵害時にはできるだけ迅速かつ正確に情報を共有することの重要性を示すケーススタディとなるべきだとShipley氏は指摘します。「これはPRや危機管理コミュニケーション、そして犯罪ブランドや評判が混ざり合った問題です」と彼は述べています。
