自動車メーカーのマツダは、Oracle E-Business Suite(EBS)を狙った一連の攻撃キャンペーンのターゲットになっていたことを認めています。これは、Cl0p(Cl0p)を名乗るグループが運営するリークサイト上で、MazdaおよびMazda USAのドメインが「被害企業」として掲載されていたことを受けてコメントしたものです。
概要
マツダの説明によると、同社の環境では攻撃の痕跡そのものは確認されたものの、システム運用や生産への影響は発生しておらず、現時点でデータ流出も確認されていません。欧州拠点からの説明では、防御策が有効に機能したことで、システム影響や情報漏えいには至らなかったとされており、引き続き監視を継続しているとしています。
また、マツダは10月時点でOracleから提供されたEBS向けのパッチを速やかに適用したと説明しており、少なくとも現時点では「攻撃は試行されたが、実際の侵害やデータ流出は防げた」という評価を示しています。一方で、Cl0p側のリークサイト上では、マツダに関して「猶予期間を与えている」といった文言が残されており、現時点ではマツダ関連の具体的なデータは公開されていません。
キヤノンの公表内容との共通点と違い
2025年11月25日には、キヤノンも同じOracle EBS関連の攻撃キャンペーンについて、影響を受けていたことを公表しています。キヤノンの説明によると、影響が確認されたのは、Canon U.S.A., Inc.の子会社が運用するウェブサーバに限定されており、既にセキュリティ対策を実施したうえでサービスを再開済みとされています。その他のシステムへの影響がないかについては、調査を継続中とされています。
キヤノンについても、Cl0p側のリークサイト上にはドメインが掲載されているものの、現時点で具体的なデータ流出は公開されていません。マツダと同様、「攻撃キャンペーンの対象にはなったが、企業側の調査では影響が限定的、あるいはデータ流出は確認されていない」という整理となっています。
一方で、同じキャンペーンの影響を受けた企業の中には、個人情報流出を確認している例もあります。海外ではCox Enterprisesが約9,500名分の個人情報流出を公表しており、攻撃を受けた全ての組織がマツダやキヤノンと同じ結果になっているわけではありません。企業ごとに侵害範囲や情報流出の有無が異なる点は押さえておく必要があります。
Cl0pキャンペーンとOracle EBS脆弱性の関係
今回の一連の攻撃キャンペーンは、Oracle E-Business Suite(オンプレミス版)に存在する脆弱性を悪用したものとみられています。具体的にどの脆弱性が悪用されたかについては、現時点でも断定には至っていませんが、候補としてCVE-2025-61882およびCVE-2025-61884が挙げられています。
これらの脆弱性はいずれも認証不要かつリモートから悪用可能であり、インターネットに公開されたEBS環境にとっては非常にリスクの高いものです。特にCVE-2025-61882については、パッチが公開される少なくとも2か月前から、ゼロデイとして悪用されていた兆候が報告されており、攻撃者側がOracleの修正よりも先に脆弱性を把握していた可能性が指摘されています。
Oracle側は当初、7月に修正済みの既知脆弱性が悪用されていると説明していましたが、その後、CVE-2025-61884およびCVE-2025-618842として追って修正を公開しており、複数の不具合が関与している可能性を示唆しています。ただし、最終的にどのCVEが実際の攻撃で使われたのかについては、キャンペーン発覚から2か月近く経過した現在も確定していません。
攻撃キャンペーンの時系列と日本企業への波及
Oracle EBSを狙ったこのキャンペーンでは、9月下旬の時点で経営層宛ての恐喝メールが複数の組織に送付されていたことが確認されています。これらのメールは、既にシステムへの侵入とデータ窃取が完了した後の「圧力段階」に位置付けられ、データの掲載・暴露をちらつかせて支払いを迫る、典型的なデータ恐喝型の流れになっていました。
11月14日頃には、今回の犯行声明とは別に、約30社が攻撃リストとして記載されていることも確認されています。さらに、国内企業としては、サトー社の海外グループ企業で、今回問題となっているOracle EBS脆弱性の悪用が既に発生しているとの報告もあります。日本企業の中には、グローバル拠点でEBSを運用しているケースも多く、国内本社が被害を受けていない場合でも、海外子会社・関連会社経由で影響を受ける可能性がある点には注意が必要です。
マツダやキヤノンのケースは、「攻撃キャンペーンの対象となったが、現時点ではシステム影響やデータ流出は確認されていない」という比較的軽微な結果にとどまっていますが、同じリスト上に掲載されている他の企業が同様の結果になるとは限りません。攻撃グループ側は、時に侵害範囲を誇張して記載することもあります。
一部参照
Mazda Says No Data Leakage or Operational Impact From Oracle Hack








