2025年サイバー犯罪グループCl0pのダークウェブ上の流出サイトに、Oracle E-Business Suite(EBS)利用企業を狙った最近の恐喝キャンペーンの被害社として約30組織の名称が掲載されていることが分かりました。
9月下旬に各社幹部宛てへ恐喝メールが一斉送信された件と同一の攻撃とみられ、活動実行主体は利益目的クラスターFIN11に紐づけられています。Cl0pは、Cleo/MOVEit/Fortraのファイル転送製品を狙ったサイバー攻撃キャンペーンでも知られています。
目次
掲載企業と確認状況
Cl0pサイトには29社が列挙されています

トレントで公開済みの案件
WOODPLC.com/KIER.co.uk/LOGITECH.com/INTERNATIONAL.com/MKS.com/KIRBYCORP.com/
DARTMOUTH.edu/WASHINGTONPOST.com/ZANACO.co.zm/LV.com/MASTEC.com/DAVIDYURMAN.com/
COXENTERPRISES.com/PANAMERICANSILVER.com/HRSD.com/SE.com(Schneider Electric)/
CSCGLOBAL.com/AUSENCO.com/LKCORP.com(LKQ)/MILGARD.com/COPELAND.com/EMERSON.com/
WITS.ac.za/AA.com(American Airlines)/HARVARD.edu
「PAGE CREATED」等の予告表示(連絡要求を含む)
RHEEM.com/TRIMBLE.com/GLOBALLOGIC.com(WARNING表記)
「UNDER REVIEW…」の精査中表示
ELSEWEDEYELECTRIC.com/INFORMA.com
※上記はCl0p側の主張であり、各社がデータ侵害を公式に認めたわけではありません。被害の有無や範囲は未確定です。
手口と侵入経路:ゼロデイ悪用の可能性
具体的に悪用されたの脆弱性は未特定ですが、候補としてOracle EBS(オンプレ版)の脆弱性 CVE-2025-61882およびCVE-2025-61884が挙げられています。
いずれも認証不要・リモートで悪用可能で、CVE-2025-61882はパッチ公開の少なくとも2か月前からゼロデイとして悪用が始まっていた兆候があります。9月下旬の経営層宛て恐喝メールは、この侵入・窃取後の圧力段階に当たり、掲載・暴露で支払いを迫るデータ恐喝型の典型的な流れが確認できます。
企業側の対応状況
多くの組織は調査中で、公表を差し控えているとみられます。過去のCl0p事案と同様、注目回避のため沈黙を貫くケースも想定されます。被害の有無を問わず、EBSユーザーは関連パッチの適用状況の棚卸し、外部公開点の洗い直し、アクセスログ/データ持ち出し痕跡の確認など、標準的なインシデント対応プロセスを直ちに実施することが求められます。








