EBSポータルによって露呈した脆弱性の情報が拡散しており、新たな攻撃の可能性が高まっていると専門家が警告
多くのOracle E-Business Suite(EBS)利用者が恐れていた悪いニュースが現実となりました。ソフトウェアを標的としたランサムウェア攻撃の報告が、即時パッチ適用を要する深刻なゼロデイ脆弱性に関連していることが判明しました。
何か異常が起きている兆候は、先週、Halcyon、GoogleのThreat Intelligence Group(GTIG)、およびMandiantから現れました。これらは、世界で最も活発な恐喝グループの一つであるCl0pが、インターネットに公開されたEBS ERPポータルを運用するOracle顧客に送られた最近の脅迫メールの背後にいる可能性が高いと警告を発しました。
攻撃の範囲や深刻度、犯人特定について当初は不確実性がありましたが、これらの報告により、侵害の証拠としてスクリーンショットやファイルツリーが添付された最大5,000万ドルにも及ぶ異常に高額な身代金要求など、憂慮すべき詳細が明らかになりました。
「私たちはCl0pチームです。もし私たちについて知らなければ、インターネットで検索してみてください」と、ニュースサイトで再掲載された脅迫状の一つは始まっています。
この脅迫状は、通常通りの支払い要求と、支払いがなければ盗まれたデータを公開するという脅しが続いていました。
攻撃者がどのようにして被害者を侵害していたのかが懸念されていました。2025年中、OracleはiSurveyモジュールに影響するCVE-2025-30727や、管理画面およびGrants UIに影響するCVE-2025-21541など、いくつかの重要なEBSセキュリティ問題にパッチを適用してきましたが、これらが悪用された形跡はありません。
今回の最新攻撃で悪用された脆弱性は、依然として特定されていません。先週、OracleのCSOであるRob Duhartによるブログでは、2025年7月のOracle Critical Patch Update(CPU)に含まれる複数の脆弱性が関与している可能性が示唆されていました。しかし、その後この記述は削除されました。
MandiantのCharles Carmakalによる投稿でも複数の脆弱性に言及されていますが、現在は新たなリモートコード実行(RCE)脆弱性であるCVE-2025-61882が主な原因と見なされています。Oracleが週末に緊急パッチを公開したことが、この事実を裏付けているようです。
Cl0pによる最初の侵入は8月に遡り、攻撃者は大量のデータを盗む十分な時間があったことになります。被害者への恐喝メールは9月29日以降に送信されましたが、まだ全ての被害者に届いていない可能性があるとCarmakalは警告しています。
「すでに広範囲にわたるゼロデイの悪用が発生しており(今後も他の攻撃者によるnデイ悪用が続く可能性が高い)、パッチ適用のタイミングに関わらず、組織はすでに侵害されていないか調査すべきです」と彼は述べています。
緊急警告:今すぐパッチを適用せよ
CVSSで「クリティカル」と評価される9.8点のCVE-2025-61882は、Oracle E-Business SuiteのEBS BI Publisher Integrationコンポーネントに存在する脆弱性で、バージョン12.2.3から12.2.14が影響を受け、認証なしでリモートから悪用可能です。
顧客は、まだ適用していない場合は2023年10月のクリティカルパッチアップデートを先に適用したうえで、最新のパッチを適用する必要があります。2023年10月4日以前に更新されたソフトウェアバージョンはリスクがあると見なされます。
「Oracleは、お客様ができるだけ早く本セキュリティアラートで提供されるアップデートを適用することを強く推奨します」と同社は警告しています。
Oracleはまた、検知支援のため、IPアドレス、観測されたコマンド、マルウェアシグネチャなどの侵害の兆候(IoC)のリストも公開しました。
「週末にパッチを適用した人はほとんどいないでしょう。私たちは、公開されたエクスプロイトコードと未パッチのシステムが至る所に存在するクリティカルな脆弱性に直面しています」と、継続的セキュリティテスト企業watchTowrの主任セキュリティ研究員Jake Knottは述べています。
「今後数日以内に、複数のグループによる大規模かつ無差別な悪用が発生することは間違いありません。Oracle EBSを運用している場合、これは緊急警告です。即座にパッチを適用し、積極的に侵害を調査し、コントロールを強化してください―迅速に。」
データセキュリティベンダーSafeticaのCTO、Zbyněk Sopuchによれば、企業は最近のランサムウェア攻撃が示すサイバー犯罪者の行動変化にも注意を払うべきだといいます。
「窃盗犯が好んで標的とするシステムにはERP、財務、人事が含まれ、典型的な侵入経路は管理者認証情報や、VPN、ミドルウェア、APIサービスアカウントなどのサードパーティコネクタ経由です。これらは一般的に広範なアクセス権を持っています」とSopuchは述べています。
彼は、企業が重要なアプリケーションをできる限り分離し、管理者ログインや統合・APIアクセスポイントには多要素認証(MFA)などの保護を標準化することを推奨しています。
「逆に、サービスおよび統合アカウントには最小限または役割に応じた適切なアクセス権のみを付与し、鍵を定期的にローテーションしてください」と彼は述べています。
ゼロデイ脆弱性はCl0pに特に好まれているようで、2023年のMOVEitファイル転送顧客に対するCVE-2023-34362の悪用がその代表例です。同様の手法による他の攻撃には、2020年のAccellionや2021年のSolarWindsが含まれます。
教訓として、組織は外部アクセスポイントやログインなど、攻撃対象領域のすべてのリスクポイントを継続的に監視して初めて侵入を検知できるとSopuchは述べています。
