ワシントンポスト、Oracle EBSへのサイバー攻撃で9,720名の個人情報流出-ハッカー グループ Cl0p(Clop)が関与か

セキュリティニュース

投稿日時: 更新日時:

Oracle EBSのサイバー攻撃 キャンペーン、Cl0p(Clop)が30社をリークサイトに掲載(CVE-2025-61882,CVE-2025-61884)

 2025年11月 米紙ワシントンポストは、自社のOracle E-Business Suite(EBS)環境が侵害され、従業員・契約従業員等9,720名の個人情報が窃取されたと州当局への届け出で明らかにしました。脅威主体はCl0pランサムウェアと関係する恐喝クラスター(FIN11)とされており、支払いを拒んだ組織のデータをリークサイトで公開しています。

公式届出と被害内容の確定情報

米メイン州司法長官サイトへの届出によると、2025年7月10日に始まった外部からの不正アクセス(ハッキング)を10月27日に発見し、11月12日付で対象者へ書面通知を実施。影響総数は9,720名(うちメイン州居住者31名)で、12か月間のIDXによる本人情報保護サービスを提供しています。漏えい項目は氏名、銀行口座番号・ルーティング番号、社会保障番号(SSN)、納税者番号などです。

脅迫・暴露の経緯

9月29日に攻撃者から連絡を受領。調査の結果、7月10日〜8月22日にデータアクセスが行われていたことが判明。Cl0p側のリークサイトでは、120GB超のアーカイブがワシントンポスト関連として公開されたと報じられています。

Oracle EBSのゼロデイ攻撃

本件はOracle EBSを利用する多数組織を狙った恐喝キャンペーンの一環とみられ、数十社規模の被害が報じられています。ハーバード大学、アメリカン航空子会社Envoy Air、日立子会社GlobalLogicなどが影響を認めた例として挙げられ、パッチ公開前からのゼロデイ悪用が指摘されています。

悪用候補としてCVE-2025-61882 / CVE-2025-61884が言及されています(※ベンダー確証前の報道ベース情報)。

いずれも認証不要でリモート悪用可能とされ、7月時点からの被害時系列と整合します。

関連:Oracle EBSのサイバー攻撃 キャンペーン、Cl0p(Clop)が30社をリークサイトに掲載(CVE-2025-61882,CVE-2025-61884)

時系列

  • 2025/07/10 不正アクセス開始(後日調査で判明)

  • 2025/08/22 データアクセス継続(後日調査で判明)

  • 2025/09/29 攻撃者がワシントンポストに連絡(恐喝)

  • 2025/10/27 侵害発見(フォレンジック着手)

  • 2025/11/12 本人通知開始(IDX 12か月提供)

  • 2025/11/14 詳細報道が相次ぐ(被害者数・項目の確定化)

影響と当事者向け注意喚起

口座情報やSSN/納税者番号が含まれるため、口座乗っ取り、不正引き出し、税還付詐取等の二次被害リスクが継続します。対象者は口座監視、クレジットフリーズの検討、パスワード・多要素認証の強化などを推奨します。

Oracle EBSユーザーへの実務的推奨

  1. 修正適用と露出点遮断:関連パッチの即時適用、インターネット露出最小化、WAF強化。

  2. 横断監査7月以降の権限昇格・新規アカウント、大容量送信ログ認証不要エンドポイントへの異常リクエストを重点確認。

  3. 恐喝メール対応:リーク公開までの猶予期間を想定し、法執行・規制当局への届出と一元的広報体制を事前整備。

  4. サプライチェーン確認:EBS周辺モジュールや外部運用ベンダーのアクセス権・ログ保全・端末衛生状態を点検。