Bleeping Computerは4月3日(米国時間)、「Oracle privately confirms Cloud breach to customers」において、先月末に伝えた侵害事案について、Oracleが被害を認めたと報じた。

Oracleはこれまで一貫して報道を否定していたが、一部顧客に対して情報流出を認めたという。

  • Oracle privately confirms Cloud breach to customers

    Oracle privately confirms Cloud breach to customers

言葉遊びで隠蔽の試みか

Oracleの侵害事案は「rose87168」と名乗る脅威アクターのデータ侵害フォーラムへの投稿で明らかになった。脅威アクターの主張によると「oraclecloud.com」を侵害し、シングルサインオン(SSO: Single Sign On)およびLDAP(Lightweight Directory Access Protocol)から約600万人の顧客データを窃取したという(参考:「Oracleから600万件の顧客情報流出の可能性、Oracleは否定も流出データ確認 | TECH+(テックプラス)」)。

この主張に対し、Oracleは次のように述べ、これを完全に否定していた。しかしながら、このたびのBloombergの報道で顧客に対して被害を認めていることが明らかになった。

「Oracle Cloudへの侵害は発生していません。公開された認証情報はOracle Cloudのものではありません。侵害されたりデータを失ったりしたOracle Cloudの顧客はおりません」

この否定について、Bleeping Computerは厳密には真実だと評価している。実際に「Oracle Cloud」は侵害されておらず、侵害されたのは「Oracle Cloud Classic」と呼ばれるプラットフォームだからだという。

一部のセキュリティ研究者はOracleのこの隠蔽とも受け取れる対応に、「言葉遊び」として非難している。「Oracle Cloud Classic」は古いOracle Cloudサービスのリブランド製品とされ、現在のOracle Cloudではないが、Oracleが管理しているサービスの一部に変わりはない。

Oracleで何が起きたのか

セキュリティ企業のCybelAngelは、速報として調査レポートを公開している。レポートにより明らかになった事実は次のとおり。

  • 侵害されたデータは約16カ月以上前のもので、完全な個人識別情報(PII: Personally Identifiable Information)は含まれていない
  • 流出したデータにはメールアドレス、ユーザー名、ハッシュ化されたパスワードが含まれている。より正確には、シングルサインオンおよびLDAP認証情報、JKSファイル(Javaキーストア)、パスワードとキーファイル、Enterprise Manager JPSキーなどが含まれる
  • 脅威アクターはデータ販売の取引について、金銭の支払いにとどまらず、ゼロデイ攻撃(手法、手段)と交換することもいとわないことから、攻撃計画がより広範囲に及ぶ可能性がある
  • Oracleはさらなるリスクを軽減するために積極的なセキュリティ対策を講じたとみられる

レポートによると、Oracleは2025年1月時点で共有IDサービスに侵入していた脅威アクターを特定していたという。侵入には2020年のJavaエクスプロイトが用いられ、脅威アクターはWebシェルとマルウェアを展開したという。このマルウェアはOracle IDMデータベースからデータの窃取が可能とされる。

Oracleは2月下旬、潜在的な侵害に気づき調査を開始。3月初旬に脅威アクターから身代金を要求され、その後数日のうちに脅威アクターをシステムから排除した。データ侵害フォーラムへの投稿は、排除後の3月20日に行われた。身代金の要求額は2,000万ドルとされる。

Oracle Healthからも情報流出

Bleeping Computerによると、2025年2月頃に別の脅威アクターの攻撃によりOracle Healthからも患者データが流出したという。被害を受けた病院は、脅威アクターから身代金を要求された可能性があるとしている。

Oracle Healthについても、Bleeping ComputerはOracleに問い合わせを行っているが、今のところ返答はないという。Oracleには顧客への情報開示に加え、顧客が展開しているサービスを享受しているユーザーの不安払拭のために、適切な情報公開が望まれている。