1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Oracleの不正アクセスによる個人情報漏洩 疑惑が訴訟に発展

Oracleの不正アクセスによる個人情報漏洩 疑惑が訴訟に発展

セキュリティニュース

投稿日時: 更新日時:

Oracleの不正アクセスによる600万人分の個人情報漏洩 疑惑、集団訴訟に発展

2025年3月31日、米国テキサス州西部地区連邦地方裁判所において、Oracle Corporationを被告とする集団訴訟が提起されました。原告はフロリダ州在住のMichael Toikach氏で、自身および同様の被害を受けた全米の利用者を代表して訴えを起こしています。

本件は、2025年1月22日前後に発生したとされるサイバー攻撃に端を発し、Oracle(オラクル)の保有する患者情報や個人情報が最大600万人分流出した可能性があると報じられている事案です。

被害情報には、氏名、住所、社会保障番号を含む、機密性の高い個人情報が含まれているとされています。

Oracleによる情報漏洩疑惑

rose87168」と名乗る脅威アクターが、Oracle CloudのSSO(シングルサインオン)ログインサーバーから合計約600万件のデータを盗んだと主張し、その後Oracleは公式に否定しました。 一方で複数のセキュリティ企業がこの漏洩データが本物の可能性があると指摘しています

2025年4月には、ブルームバーグがOracle Cloudへの不正アクセスによる情報漏洩について一部顧客へ非公開で通知している事が分かり、波紋を呼んでいます。

また別の同一の原因で別のインシデントがあります。Oracleは2022年に医療SaaS大手Cernerを280億ドルで買収し、Oracle Health(オラクル ヘルス)に統合しました。買収後旧CernerのレガシーサーバOracle Cloudへの移行が未完了で、2025年2月にこのサーバーへ不正アクセスを受けたとされています。

不正アクセスと漏洩の経緯

日付/期間 イベント
2025年1月22日以降 Oracle Healthへ不正アクセス確認
2025年2月20日頃 Oracleが侵害を認識
2025年2月下旬以降 Oracle Healthが一部顧客への通知を開始
2025年3月21日 ハッカーがOracleのデータ窃取を主張

※Oracleは否定
2025年3月中旬 FBIが捜査を開始
2025年3月31日 Oracleを被告とする集団訴訟が提起

Oracleによる情報管理体制の不備

訴状によると、Oracleは旧Cerner社のレガシーサーバーに保存されたままのデータについて、適切な暗号化、アクセス制御、監視体制を施していなかったと指摘されています。さらに、攻撃の兆候を検知したにも関わらず、被害者への通知が行われておらず、

テキサス州のデータ漏えい通知法に違反していると主張されています

※同法では、漏えいが確認されてから60日以内に通知が義務付けられています。

原告の主張する損害と訴因

原告および集団訴訟の対象となる被害者は以下のような実害・リスクを訴えています。

  • 個人情報の盗難・不正利用による金銭的被害
  • クレジットモニタリングや監視サービス等にかかる費用負担
  • 詐欺防止対策のための時間的・精神的コスト
  • プライバシーの侵害と情報の市場価値の毀損
  • 継続的な情報流出リスクへの不安

加えて、Oracleが明示的に掲げていたプライバシーポリシーに反して、速やかな漏えい報告を行っていない点も、契約不履行および消費者への不誠実な対応として問題視されています。

訴状では、以下の4つの訴因が掲げられています

訴因

  1. 過失および過失による違法行為(negligence and negligence per se)
  2. 第三者受益者契約の違反(breach of third-party beneficiary contract)
  3. 不当利得(unjust enrichment)
  4. 信義則違反(breach of fiduciary duty)

今後の対応と影響

本訴訟は、クラウドサービス事業者が多くの医療機関の業務システムをホスティングしている現代において、セキュリティ対策義務の重大性を改めて浮き彫りにするものです。特に患者データのような機微情報を取り扱うSaaS事業者においては、暗号化、アクセス制御、ログ監査、侵入検知システムといった技術的措置の整備だけでなく、インシデント発生時の迅速な通知体制も不可欠とされます。

原告側は、損害賠償に加え、Oracleに対して以下のような対応を求めています

  • 情報セキュリティ体制の見直しと第三者機関による監査
  • 定期的な侵入テストおよびログ監視の実施
  • 被害者への長期的な信用監視サービスの無償提供
  • 将来的な再発防止策の導入(ゼロトラスト設計、データ最小化、早期検知体制など)

医療業界やSaaSベンダー、クラウド基盤運営企業にとって、本訴訟はセキュリティポリシーとインシデント対応の在り方を見直す重要な教訓となる可能性があります。

一部参照

IN THE UNITED STATES DISTRICT COURT WESTERN DISTRICT OF TEXAS

関連記事

Oracle Cloudへの不正アクセス、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587) Oracle、Oracle Cloudへのサイバー攻撃による情報漏洩を再度否定、侵害は「無関係な旧式サーバー2台への不正アクセスのみ」と認めるOracle、Oracle Cloudへのサイバー攻撃による情報漏洩を再度否定、「無関係な旧式サーバー2台への不正アクセスのみ」 Oracle Health、サイバー攻撃により情報漏洩の可能性Oracle Health、サイバー攻撃により情報漏洩の可能性 Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋 ハッカーがOracle Cloudへ不正アクセスし600万件のデータを販売、Oracleは否定ハッカーがOracle Cloudへ不正アクセスし600万件の情報窃取を主張、Oracleは否定 Oracle Healthからの医療情報漏洩でFBIが捜査開始かOracle Healthからの医療情報の漏洩 疑惑でFBIが捜査開始か シュナイダーエレクトリックへサイバー攻撃と不正アクセスシュナイダーエレクトリックへサイバー攻撃と不正アクセス GoogleがChromeのサードパーティ Cookie 削除を撤回GoogleがChromeのサードパーティ Cookie 削除を撤回 AT&Tの大規模データ侵害で1億900万人の顧客の通話記録が漏洩AT&Tが契約する「Snowflake」から大規模データ侵害 約1億900万人の顧客の通話記録が漏洩