1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)

Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)

セキュリティニュース

投稿日時: 更新日時:

Oracle Cloudへの不正アクセス、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)

2025年3月21日、世界的なIT企業であるOracle(オラクル)に対し、ハッカーがOracle Cloud(オラクル クラウド)へ不正アクセスし600万件のデータを取得したと主張しています。※これに対し、Oracleは「クラウド環境に対する侵害の事実はない」と公式に否定しています。

2025 年 3 月 21 日、セキュリティコンサルティング会社の CloudSEK は本セキュリティインシデントがOracle Fusion Middlewareの2022年に公開された古い脆弱性を悪用した可能性があると指摘しています。(CVE-2021-35587)

2025年4月7日追記:Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋

ハッカーの主張

rose87168」と名乗るハッカーが、Oracle CloudのSSO(シングルサインオン)ログインサーバーからデータを盗んだと主張し、ハッキングフォーラムでその情報の販売を開始したことから始まりました。

ハッカーは以下のデータが含まれていると述べています

  • 暗号化されたSSOパスワード

  • Java Keystore(JKS)ファイル

  • 各種キー情報(Enterprise Manager JPS Key など)

  • LDAPのハッシュ化パスワード

など合計600万レコード。事実であれば14 万以上のテナントが影響を受けている可能性があります。

これに対し、Oracleは

「Oracle Cloudの侵害は確認されておらず、公開された認証情報はOracle Cloudのものではありません。Oracle Cloudの顧客に被害は発生していません」

としています。

なお、セキュリティ対策Labでフォーラムに公開されている一部侵害企業のリストを確認すると、日本企業も複数掲載されていました。

ハッカーはサブドメイン login.us2.oraclecloud.com への侵害を主張

ハッカーはサブドメイン login.us2.oraclecloud.com への侵害を主張しています。

※ハッキング主張以降削除

脅威アクターはサブドメイン login.us2.oraclecloud.com

画像:CloudSEK

Oracle Fusion Middlewareを設定しているサーバーに脆弱性か

このサブドメインは2025年2月17日にウェイバックマシンでキャプチャされており、Oracle Fusion Middleware 11Gをホストしていたことが示唆されています

Oracle Fusion Middleware 11G

画像:CloudSEK

FOFA(IoT・IT機器検索エンジン) によると、このOracle Fusion Middleware Server は、2014 年 9 月 27 日土曜日頃に最後の更新がされました。

一方で、Oracle Fusion Middleware には、Oracle Access Manager (OpenSSO Agent) に影響する重大な脆弱性 CVE-2021-35587 が存在しています。

また、2022 年 12 月に CISA KEV に登録されており悪用が確認されていますのでこの脆弱性が悪用された可能性があります。

脆弱性 CVE-2021-35587を悪用か

脆弱性は以下のバージョンで発生します

  • 11.1.2.3.0
  • 12.2.1.3.0
  • 12.2.1.4.0

この脆弱性は簡単に悪用でき、認証されていない攻撃者が HTTP 経由でネットワークにアクセスして Oracle Access Manager を侵害できます。

脆弱性を悪用したサイバー攻撃が成功すると、Oracle Access Manager が乗っ取られる可能性があり、

当時のCVSS 3.1スコは 9.8となっており危険性の高さが分かります。 

当該サーバの更新が2014年で停止していた痕跡もあり、パッチ未適用のまま長期間運用されていた可能性が考えられます。

なお、複数の海外セキュリティメディアはハッカー「rose87168」からデータサンプルを受け取り、漏洩対象リストに記載のある企業へ連絡したところLDAPの表示名やメールアドレスなど各種識別名が合致したとされています。

新規ハッカーの為、主張に注意

rose87168」と名乗るハッカーは主張から技術力の高さが分かる一方、ハッキングフォーラムでは新規ユーザーの為、本インシデントの事実性はまだ分かりません。

実際、別のハッカー「emirking」は同じハッキングフォーラムで「OpenAIの2,000万以上のアカウントアクセスコードを入手した」と主張しました。しかし、これらの認証情報はOpenAIのシステム侵害によるものではなく、インフォスティーラー(情報窃取型マルウェア)によって収集されたデータであることが判明し、フォーラムからemirkingのアカウントも削除されました。

Oracleは現状公式で漏洩に関する主張を否定しているため、この脆弱性が利用されたかはまだ不明です。

疑似のインシデント:Oracle Health、サイバー攻撃により情報漏洩の可能性

Oracle Cloudのインシデントが騒がれていますが、Oracle Healthでも医療関係者の情報漏洩の可能性を指摘されています。

Oracleは2022年に医療SaaS大手Cernerを280億ドルで買収し、Oracle Health(オラクル ヘルス)として統合を進めていました。BleepingComputerによると2025年2月、Oracle Cloud移行前のレガシーサーバが不正アクセスを受け、電子カルテ(EHR)を含むデータが外部へ流出したことが判明しました。

Oracleへ集団訴訟の可能性

2025年3月31日、米国テキサス州西部地区連邦地方裁判所において、Oracle Corporationを被告とする集団訴訟が提起されました。原告はフロリダ州在住のMichael Toikach氏で、自身および同様の被害を受けた全米の利用者を代表して訴えを起こしています。

一部参照

The Biggest Supply Chain Hack Of 2025: 6M Records Exfiltrated from Oracle Cloud affecting over 140k Tenants

関連記事

ハッカーがOracle Cloudへ不正アクセスし600万件のデータを販売、Oracleは否定ハッカーがOracle Cloudへ不正アクセスし600万件の情報窃取を主張、Oracleは否定 Oracle Health、サイバー攻撃により情報漏洩の可能性Oracle Health、サイバー攻撃により情報漏洩の可能性 Oracle、Oracle Cloudへのサイバー攻撃による情報漏洩を再度否定、侵害は「無関係な旧式サーバー2台への不正アクセスのみ」と認めるOracle、Oracle Cloudへのサイバー攻撃による情報漏洩を再度否定、「無関係な旧式サーバー2台への不正アクセスのみ」 Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋 Oracleの不正アクセスによる600万人分の個人情報漏洩 疑惑、集団訴訟に発展Oracleの不正アクセスによる個人情報漏洩 疑惑が訴訟に発展 Oracle Healthからの医療情報漏洩でFBIが捜査開始かOracle Healthからの医療情報の漏洩 疑惑でFBIが捜査開始か Default ThumbnailVeeamのVeeam Backup Enterprise Managerで重大な認証バイパスのバグを警告(CVE-2024-29849) Default ThumbnailF5のBIG-IP Next Central Managerで脆弱性 デバイス乗っ取りが可能に(CVE-2024-26026、CVE-2024-21793) 6000以上のワードプレスがサイバー攻撃とハッキング被害6000以上のワードプレスがサイバー攻撃とハッキングの被害