1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. Oracle Health、サイバー攻撃により情報漏洩の可能性

Oracle Health、サイバー攻撃により情報漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

Oracle Health、サイバー攻撃により情報漏洩の可能性

米医療機関や病院を対象にした患者データの大規模漏洩事件が発生しました。攻撃の標的となったのは、Oracle(オラクル)が買収した旧Cernerのレガシーサーバ。このサーバはOracle Cloudへの移行が未完了で、2025年2月に不正アクセスを受けたとされています。

関係者向けに配布された非公式な通知や、BleepingComputerの独自取材により、複数の病院が影響を受けており、患者の個人情報が盗まれたことが確認されています。

サイバー攻撃の概要

Oracleは2022年に医療SaaS大手Cernerを280億ドルで買収し、Oracle Health(オラクル ヘルス)として統合を進めていました。BleepingComputerによると2025年2月、Oracle Cloud移行前のレガシーサーバ不正アクセスを受け、電子カルテ(EHR)を含むデータが外部へ流出したことが判明しました。

複数の関係者が「患者データが実際に盗まれている」と証言しており、影響を受けた病院では個別にHIPAA法に違反か否かを判断し、通知を進める責任を負わされています。

被害を受けた病院は「アンドリュー」という個人のハッカーによって恐喝されていて、盗まれたデータの漏洩や売却を防ぐのに数百万ドル相当の暗号通貨を要求しており、病院に圧力をかけるために、侵害に関する非ダークウェブのウェブサイトを開設しています。

なお、この人物は既知のランサムウェアや恐喝グループとのつながりを主張していません。

※HIPAA法:プライバシールールは、保健情報を電子的フォームで送信する保健計画、保健医療提供者、保健医療クリアリングハウスに適用される法律

参照:https://www.mhlw.go.jp/shingi/2010/06/dl/s0616-4g.pdf

顧客への通知

BleepingComputerが入手したOracle Healthの顧客への通知は「2025年2月20日頃、Oracle Cloudにまだ移行されていない古いレガシー・サーバー上にあったCernerデータの一部への不正アクセスを伴うサイバーセキュリティ・イベントが発生したことを認識しましたので、お知らせします」とされています。

Oracle Health、Oracle は侵害を認めていない

BleepingComputer は、多数の情報源との会話の中で、すべての正式な通信が Oracle のレターヘッドではなく普通紙で送信され同社がこれまで侵害を認めていないことが分かっています。これにより顧客である医療機関は同社の透明性の欠如に怒りをあらわにしているとしています。

Oracle Healthからの医療情報の漏洩 疑惑でFBIが捜査開始か

米連邦捜査局(FBI)が、Oracle Health社のシステムに対する医療情報窃取を伴うサイバー攻撃 事件の捜査を開始したとBloombergが報じました。本件は既に複数の医療機関に影響を及ぼしており、Oracleは2月下旬から一部顧客への通知を始めていました。

別のセキュリティインシデント:Oracle Cloudへの不正アクセス

2025年3月21日、世界的なIT企業であるOracle(オラクル)に対し、ハッカーがOracle Cloud(オラクル クラウド)へ不正アクセスし600万件のデータを取得したと主張しています。※これに対し、Oracleは「クラウド環境に対する侵害の事実はない」と公式に否定しています。

本セキュリティインシデントはOracle Fusion Middlewareの2022年に公開された古い脆弱性。(CVE-2021-35587)を悪用した可能性があると指摘されています。

Oracleへ集団訴訟の可能性

2025年3月31日、米国テキサス州西部地区連邦地方裁判所において、Oracle Corporationを被告とする集団訴訟が提起されました。原告はフロリダ州在住のMichael Toikach氏で、自身および同様の被害を受けた全米の利用者を代表して訴えを起こしています。

参照

Oracle Health breach compromises patient data at US hospitals

 

関連記事

Oracle Cloudへの不正アクセス、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587) ハッカーがOracle Cloudへ不正アクセスし600万件のデータを販売、Oracleは否定ハッカーがOracle Cloudへ不正アクセスし600万件の情報窃取を主張、Oracleは否定 Oracle Healthからの医療情報漏洩でFBIが捜査開始かOracle Healthからの医療情報の漏洩 疑惑でFBIが捜査開始か Oracle、Oracle Cloudへのサイバー攻撃による情報漏洩を再度否定、侵害は「無関係な旧式サーバー2台への不正アクセスのみ」と認めるOracle、Oracle Cloudへのサイバー攻撃による情報漏洩を再度否定、「無関係な旧式サーバー2台への不正アクセスのみ」 Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋 Oracleの不正アクセスによる600万人分の個人情報漏洩 疑惑、集団訴訟に発展Oracleの不正アクセスによる個人情報漏洩 疑惑が訴訟に発展 ハーバード大学、Oracle E-Business Suiteのゼロデイ攻撃による情報漏洩の有無を調査-Clopがリーク予告ハーバード大学、Oracle E-Business Suiteのゼロデイ攻撃による情報漏洩の有無を調査-Clopがリーク予告 サイバー攻撃の事例 【2025年】【2025年】サイバー攻撃の事例 Oracle、E-Business Suiteの未認証アクセスの脆弱性(CVE-2025-61884)に緊急対処を呼びかけOracle、E-Business Suiteの未認証アクセスの脆弱性(CVE-2025-61884)に緊急対処を呼びかけ