オラクル、当初否定していたクラウド侵害を認める ― ハッカーの主張、漏洩データ、サイレントアラートが懸念を呼ぶ

透明性とクラウドセキュリティに深刻な疑問を投げかける事態が起こりました。オラクルは、これまでそのようなインシデントは発生していないと否定していたにもかかわらず、クラウドインフラに関わる重大なデータ侵害を受けたと報じられています。その後、このテクノロジー大手は影響を受けた顧客にひそかに警告を発し始めましたが、攻撃の範囲と深刻さについては依然として軽視し続けています。

この侵害は、 rose87168という別名を持つハッカーがOracle Cloudから機密データであると主張するデータを漏洩し始めたことで初めて発覚しました。このデータは14万人以上のテナントに影響を与えました。このデータには、暗号化された認証情報、ユーザー名、その他の重要な顧客情報が含まれているとされています。攻撃者は当初、Oracleに2,000万ドルの身代金を要求しましたが、支払いを受けなかったため、盗んだデータをゼロデイ攻撃と引き換えに販売または交換し始めました。

こうした疑惑にもかかわらず、オラクルは当初、断固とした態度でこう回答しました。「Oracle Cloudへの侵害は発生していません。公開された認証情報はOracle Cloudのものではありません。Oracle Cloudのお客様で侵害やデータ損失が発生したことはありません。」しかし、この発言は、セキュリティ専門家や顧客からの裏付けとなる証拠の積み重ねと独立した確認によって、疑問視されています。

ハッカーの証拠はオラクルの否定と矛盾する

SecurityWeekによると、ハッカーは1万件の顧客記録のサンプル、オラクルの社内会議を映したと思われる動画、オラクルのクラウドシステムへのアクセスを示すファイルなど、複数の証拠を提出したという。漏洩した認証情報の一部は2024年のものと報じられており、ブルームバーグが報じたように、影響を受けた環境は8年以上使用されていないというオラクルの主張とは矛盾している。

セキュリティ研究者のケビン・ボーモント氏は、オラクルが「Gen 1」といった曖昧な用語を使って真実を隠蔽しようとしていると疑っている。ボーモント氏は、おそらくこの名称に該当するOracle Classicが、依然として同社のクラウド・インフラストラクチャの一部であると指摘した。この言葉のねじ曲げによって、たとえデータがレガシー・クラウド・システムから発生したものであっても、オラクルは「Oracle Cloud」への侵害を技術的に否定できると彼は述べている。

ボーモント氏はまた、オラクル社が顧客に書面による通知を送っておらず、警告は口頭のみで行われていたと報じられており、同社の透明性に対する懸念がさらに高まっていることも明らかにした。

マルウェア、Javaエクスプロイト、長期アクセス

CyberAngelは匿名の情報筋を引用し、今回の侵害は2020年に発見されたJavaの脆弱性に起因すると主張しています。この脆弱性により、攻撃者はOracleシステムにマルウェアとウェブシェルをインストールすることが可能になりました。このマルウェアはOracleのID管理データベースを標的としており、アクセスは2025年1月には開始されていた可能性があります。Oracleは、身代金要求が行われた2月下旬にこの問題を認識したとされています。

この情報源によると、影響を受けたのは「第1世代」クラウドインフラストラクチャ、具体的には古いOracle Classic環境のサーバーのみで、より新しい「第2世代」サーバーは影響を受けなかったとのことです。しかし、侵害されたデータは少なくとも16ヶ月前のものと報じられていますが、実際の本番環境や実際の顧客アカウントにリンクされているようです。

Oracle Healthの侵害がさらなる影響を及ぼしている

オラクルは引き続き限定的な公式声明を発表する一方で、オラクル・ヘルスのシステムに関わる別の侵害事件の報告も出ています。複数のオラクル・システムから顧客データと患者データが同時に流出したことは、サイバーセキュリティ専門家と規制当局の両方から深刻な懸念を引き起こしています。

オラクルのクラウド侵害への対応は、当初の否定から顧客への限定的な対応まで、セキュリティ業界全体から批判を招いています。FBIとCrowdStrikeの捜査官が事件を調査する中、影響を受けた組織がリスクを評価し、自衛に必要な措置を講じられるよう、オラクルに透明性の向上を求める声が高まっています。