2025/04/04 SecurityWeek — Oracle は、自社のクラウド・システムの一部が侵害されたことを顧客に対して認めているが、そのプロセスは非公開であり、このインシデントの影響を矮小化しているようだ。
最近のことだが、オンライン名 “rose87168” を用いるハッカーが、140,000 を超える Oracle Cloud テナントに関連するとされる、数百万行のデータを販売すると申し出たが、その中には、暗号化された認証情報も含まれると主張している。当初、このハッカーは、Oracle に対して $20 million の支払いを強要していたが、その後に、他者へのデータ販売、もしくは、ゼロデイ攻撃の猶予と交換すると、その内容を変更した。
このハッカーの主張が明るみに出た後に Oracle は、Oracle Cloud に対するハッキングを断固として否定した。同社は、「Oracle Cloud への侵害はない。公開された認証情報は Oracle Cloud のものではない。Oracle Cloud の顧客が侵害を受けたことも、データを失ったこともない」と述べていた。
その一方でハッカーは、主張を証明するために、10,000件の顧客データレコードのサンプル/Oracle Cloud へのアクセスを示すファイルへのリンク/ユーザーの認証情報/Oracle 社内会議中に録画されたと思われる長いビデオなどの、さまざまな情報を暴露した。
複数のセキュリティ企業は、漏洩した顧客情報は本物であり、本番環境に関連付けられているようだと指摘していた。SecurityWeek やなどのメディアも、一部の Oracle Cloud 顧客から、彼らのデータが漏洩に含まれていたことを確認した。
SecurityWeek は、このインシデントが明るみに出た後に、Oracle に対して何度も声明を要求したが、同社は、まったく反応していない。
しかし、先日のことだが、影響を受けた顧客に対して Oracle が非公開で通知し、データ漏洩が発生したことを認めたという、いくつかの報告があった。その一方で、依然として詳細は不明瞭であり、また、矛盾する情報もあるようだ。
Bloomberg によると、ユーザー名/パスキー/暗号化されたパスワードに影響するデータ侵害について、Oracle が顧客に対して非公開で通知し始めたことを、事情に詳しい関係者からの情報により知ったとのことだ。この報道によると、FBI と CrowdStrike が、このインシデントを調査しているようだ。
また、Bloomberg の情報筋によると、Oracle が顧客に伝えているのは、このインシデントは8年間にわたり使用されていないレガシー環境に関係しており、侵害された認証情報の大半にリスクがないという内容だ。別の情報筋によると、侵害された認証情報の一部は、2024年のものだとのことだ。
セキュリティ企業である CyberAngel が、匿名の情報筋から得た情報は、第1世代クラウド・サーバが影響を受けたが、新しい第2世代サーバは影響を受けなかったという内容である。また、侵害された情報は、遅くとも 16か月前のものであり、完全な個人情報は含まれていないという。
同社は、「要請により、名前を明かせないが、その情報筋によると、Oracle は 2025年1月にも、共有 ID サービスに侵入した攻撃者を特定しているようだ。この露出は、2020年の Java エクスプロイトにより促進され、マルウェアに加えてウェブ・シェルがインストールされた。このマルウェアの主たる標的は、Oracle IDM データベースであり、そこからデータを盗み出すことに成功した。2月下旬になって、Oracle は潜在的な侵害に気づき、この問題を社内で調査したようだ。そこから数日後の3月上旬に、最初の身代金要求が行われたとき、Oracle は犯人を排除できたと伝えられていた」と付け加えている。
その一方でハッカーは、2025年の情報も侵害したと主張している。
この件を追ってきた、サイバー・セキュリティ研究者である Kevin Beaumont は、一連の通知は口頭のみで行われており、書面による通知はないことを、Oracle Cloud の顧客から聞いたという。
Kevin Beaumont は、「Gen 1 サーバは、古い Oracle Cloud サービスに付けられた名前である、Oracle Classic を指している可能性がある。この言葉遊びにより Oracle は、Oracle Cloud が侵害されたことを否定できると考えている。 つまり、Oracle Cloud に関する声明を、巧妙に言い表そうとしており、きわめて具体的な言葉を使って責任を回避しようとしている。しかし、それは許されないことだ。Oracle は、何が起こったのかを、それによる顧客がどのような影響を与えているのか、そして、それに対して何をしているのかを、明確かつオープンに伝える必要がある」と述べている。
この数日の間に出回っているものに、明らかに無関係な Oracle Health のデータ侵害に関する報告もある。Bleeping Computer によると、このインシデントにより、米国の複数の医療機関から、患者たちの情報が漏洩したという。
Oracle Cloud で発生したデータ侵害について、新たな情報が明らかになりました。Oracle は当初、クラウド環境での侵害を否定していましたが、後に一部の顧客に対して、非公開で通知を行っていたとのことです。こうした対応こそ、企業の姿勢が問われる場面だと思いますが、今回の Oracle の対応には、正直すっきりしないものを感じます。本件については、過去にも記事で取り上げています。よろしければ、以下の関連記事も、Oracle で検索と併せてご利用下さい。
2025/03/26:Oracle のアカウント情報窃取と CVE-2021-35587
2025/03/24:Oracle Cloud からの 600 万件のレコード窃取
IoT OT Security News 
You must be logged in to post a comment.