Bleeping Computerは3月26日(米国時間)、「Oracle customers confirm data stolen in alleged cloud breach is valid」において、Oracleから顧客情報が流出したと報じた。
Oracleは侵害された事実はないと報道を否定しているが、Bleeping Computerは流出したデータの信憑性を確認したと伝えている。
-
Oracle customers confirm data stolen in alleged cloud breach is valid
情報流出の概要
このインシデントは「rose87168」と名乗る脅威アクターのデータ侵害フォーラムへの投稿にて明らかになった。脅威アクターの主張によると、ドメイン「oraclecloud.com」を侵害し、シングルサインオン(SSO: Single Sign On)およびLDAP(Lightweight Directory Access Protocol)から約600万人の顧客データを窃取したという。
Bleeping Computerは真偽を確認するため脅威アクターに連絡を取り、「login.us2.oraclecloud.com」上のデータを入手したという。実際にはarchive.org経由で入手しているが、データが同サーバ上にホストされていたことに変わりはない。
このデータは脅威アクターが作成したものとされ、脅威アクターは当該サーバにファイルを保存できたことになる。つまり、この時点で侵害の事実を証明している。
Bleeping Computerはデータに含まれる被害企業に連絡を取り確認を行っている。匿名を条件に連絡に応じた複数の企業は、LDAP表示名、メールアドレス、名前、その他の識別情報のすべてが正しいと回答したとのことだ。
Oracleは侵害を否定
Bleeping ComputerによるとOracleは次のように述べて侵害を否定し、質問を拒否したという。
「Oracle Cloudへの侵害は発生していません。公開された認証情報はOracle Cloudのものではありません。侵害されたり、データを失ったりしたOracle Cloudの顧客はおりません」
セキュリティ企業「Cloudsek」の調査によると、2月17日時点において当該サーバは「Oracle Fusion Middleware 11g」を実行していたという。このソフトウェアには「CVE-2021-35587」として追跡される修正済みの脆弱性が存在する。
Bleeping Computerによると脅威アクターはこの脆弱性を悪用してサーバに侵入したとみられる。脅威アクターの主張が真実とすれば、Oracleは自社製品の古い脆弱性にパッチを当てず放置した結果、顧客情報を流出したことになる。
これまでに確認された事実から、現時点では脅威アクターの主張が正しいと評価できる可能性がある。Oracleには脅威アクターが正しい顧客情報を入手している現状について説明することが求められている。
TP-Link製ルータに重大な脆弱性、使用中止を
