ハッカーがOracle Cloudへ不正アクセスし600万件の情報窃取を主張、Oracleは否定

2025年3月21日、世界的なIT企業であるOracle（オラクル）に対し、ハッカーがOracle Cloud(オラクル クラウド)へ不正アクセスし600万件の情報窃取したと主張しています。　これに対し、Oracleは「クラウド環境に対する侵害の事実はない」と公式に否定しています。

2025年4月7日追記：Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋

ハッカーの主張

「rose87168」と名乗る脅威アクターが、Oracle CloudのSSO（シングルサインオン）ログインサーバーからデータを盗んだと主張し、ハッキングフォーラムどでその販売を開始したことから始まりました。

ハッカーは以下のデータが含まれていると述べています

• 暗号化されたSSOパスワード

• Java Keystore（JKS）ファイル

• 各種キー情報（Enterprise Manager JPS Key など）

• LDAPのハッシュ化パスワード

など合計600万レコード。事実であれば14 万以上のテナントが影響を受けている可能性があります。

なおハッカーは主張を大げさに吹聴する事があります。

実際、別のハッカー「emirking」はフォーラムで「OpenAIの2,000万以上のアカウントアクセスコードを入手した」と主張しました。しかし、これらの認証情報はOpenAIのシステム侵害によるものではなく、インフォスティーラー（情報窃取型マルウェア）によって収集されたデータであることが判明し、フォーラムからemirkingのアカウントも削除されました。

上記からハッカーの主張には注意が必要です。

Oracleの公式見解：「クラウドへの侵害はない」

これに対し、OracleはBleepingComputerの取材に対し以下のように回答しています。

「Oracle Cloudの侵害は確認されておらず、公開された認証情報はOracle Cloudのものではありません。Oracle Cloudの顧客に被害は発生していません」

ただし、ハッカー側は「login.us2.oraclecloud.com」上に自分のメールアドレスを含む .txt ファイルをアップロードしたと主張し、インターネットアーカイブのURLを証拠として提示しています。これについてもOracleは詳細なコメントをしていません。

※login.us2.oraclecloud.comはハッキング主張以降削除されています。

2025年3月26日追記：Oracle Cloudへの不正アクセス、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)

疑似のインシデント：Oracle Health、サイバー攻撃により情報漏洩の可能性

Oracle Cloudのインシデントが騒がれていますが、Oracle Healthでも医療関係者の情報漏洩の可能性を指摘されています。

Oracleは2022年に医療SaaS大手Cernerを280億ドルで買収し、Oracle Health(オラクル ヘルス)として統合を進めていました。BleepingComputerによると2025年2月、Oracle Cloud移行前のレガシーサーバが不正アクセスを受け、電子カルテ（EHR）を含むデータが外部へ流出したことが判明しました。

Oracleへ集団訴訟の可能性

2025年3月31日、米国テキサス州西部地区連邦地方裁判所において、Oracle Corporationを被告とする集団訴訟が提起されました。原告はフロリダ州在住のMichael Toikach氏で、自身および同様の被害を受けた全米の利用者を代表して訴えを起こしています。