Oracle E-Business Suite を狙う恐喝キャンペーン：Cl0p に関連するサイバー攻撃を確認

Oracle Confirms that Hackers Targeting E-Business Suite Data With Extortion Emails

2025/10/03 CyberSecurityNews — Oracle が公表したのは、高度な恐喝キャンペーンを展開するサイバー犯罪者が、同社の E-Business Suite (EBS) プラットフォーム・ユーザーを標的にしていることだ。同社の最高セキュリティ責任者である Rob Duhart は、2025年7月の Critical Patch Update (CPU) で Oracle が修正した脆弱性を、ハッカーたちが悪用していることを認めた。このインシデントが浮き彫りにするのは、エンタープライズ・アプリケーションが直面する継続的な脅威環境と、タイムリーなセキュリティ・パッチ適用の重要性である。

Oracle E-Business Suite の顧客が標的に

Bloomberg が報じているのは、悪名高いランサムウェア組織 Cl0p との関連を主張するサイバー犯罪グループが、Oracle E-Business Suite のインストール環境に対して、高度に組織化された攻撃キャンペーンを展開していることだ。

サイバー・セキュリティ企業 Halcyon によると、この脅威アクターはユーザーのメール・アカウントを侵害し、デフォルトのパスワード・リセット機能を悪用している。その後に、高度な戦術／手法／手順 (TTP) を駆使し、インターネットに接続された Oracle E-Business Suite (EBS) ポータルの、有効な認証情報を取得しているという。この手法を悪用する攻撃者は、機密データへの不正アクセスを示す詳細なスクリーンショットやファイル・ツリー構造などの侵害証拠を、被害企業に対して提示している。

少なくとも１件のインシデントでは、要求される身代金が $ 5,000万に達しており、近年のサイバー犯罪キャンペーンにおいて最大規模となっている。

そして脅威アクターは、この規模の攻撃を実施するにあたり、2025年9月29日までに侵害した数百の第三者のメール・アカウントを悪用し、検知を回避しながら恐喝メールを配布した。

この攻撃対象には、財務管理／サプライチェーン運営／顧客関係管理 (CRM) などの、企業における重要な機能を管理する Oracle E-Business Suite が含まれている。このシステムは、大規模組織に広く導入されているため、サイバー犯罪者にとって魅力的な標的となっている。

この攻撃では、Oracle が2025年7月に公開した Critical Patch Update で修正済みの、既知のセキュリティ脆弱性が悪用されている模様である。具体的には、認証バイパスや権限昇格攻撃に関連する CVE 識別子が対象となっている。

さらに、Google Threat Intelligence Group のサイバー犯罪部の責任者 Genevieve Stark は、恐喝メールに記載された連絡先と、Cl0p の公式ダークウェブ・インフラの連絡先の一致を確認しており、この攻撃における関連性を示している。

今回の脅威グループの犯行手口には、特徴的な文法エラーや言語パターンが含まれており、過去の Cl0p の活動と一致している。米国で 3,000 社以上、世界で 8,000 社以上の組織を侵害した、2023年の MOVEit キャンペーンも、この特徴を含んでいる。

こうした背景を踏まえ、Oracle がユーザーに対して強く推奨するのは、最新の Critical Patch Update を直ちに適用することだ。最新のセキュリティ・パッチ・レベルを維持することで、攻撃対象領域を大幅に削減できると、同社は強調している。

Oracle のセキュリティ・アドバイザリが特に言及しているのは、2025年7月の Critical Patch Update (CPU) の内容である。そこで修正されたものには、リモートコード実行 (RCE) や SQL インジェクションの攻撃ベクターを含む、CVSS スコア 7.5～9.8 の複数の脆弱性がある。

このような恐喝被害を受けている組織に推奨されるのは、ネットワークのセグメンテーションやフォレンジック・データの保全などの、インシデント対応手順を実施し、Oracle サポートに直ちに連絡することだ。

Oracle E-Business Suite の欠陥は、認証バイパスや権限昇格といった、システムの根幹を揺るがす部分に関わっています。つまり、本来はアクセスできない領域への、侵入を許してしまうという構造的な問題です。攻撃者は、正規のログイン機能やパスワードリセットを逆手に取り、有効な認証情報を取得していました。このような脆弱性は、プログラム内部の認証処理やアクセス制御の検証不足から生まれるもので、修正が遅れると被害が連鎖的に広がってしまうと、この記事は指摘しています。なお、この時点では悪用された脆弱性が特定されていませんでしたが、続報においては CVE-2025-61882 が浮上しているようです。ご利用のチームは、ご注意ください。よろしければ、Oracle で検索も、ご参照ください。