2025年4月、ブルームバーグにょるとIT大手のOracle(オラクル)が、Oracle Cloud Infrastructureにおける大規模なデータ漏洩を一部の顧客に対して非公開で通知していたことが報じられました。この通知は、同社がセキュリティ侵害の存在を否定し続けていた中での転換であり、直前には被害を隠蔽していたとして集団訴訟が提起されていました。なお、Oracle Cloudは日本でも日本政府の共通クラウド基盤に採用されています。
目次
静かに始まった“認定”と情報漏洩の実態
報道によれば、Oracleは米国内の一部顧客に対し、ハッカーが顧客のログイン情報を含むシステムへ不正アクセスした旨を通知。漏洩した情報には、ユーザー名、パスキー、暗号化されたパスワードが含まれていたとされています。
Oracle側は、問題のシステムを「レガシーサーバへの侵害」と説明しましたが、複数のセキュリティ企業が、2024年時点の顧客ログイン情報も含まれていたとされ、説明内容に疑問が投げかけられています。
なお、セキュリティコンサルティング会社の CloudSEK は、本セキュリティインシデントがOracle Fusion Middlewareの2022年に公開された古い脆弱性を悪用した可能性があると指摘しています。(CVE-2021-35587)
またこの件は、同社が3月にOracle Healthで発生したサイバー攻撃によるインシデントとは別物であると報じられており、2件目のセキュリティ事故として業界内の注目を集めています。
不正アクセスと漏洩の時系列
| 日付/期間 | イベント |
|---|---|
| 2025年1月22日以降 | Oracle Healthへ不正アクセス確認 |
| 2025年2月20日頃 | Oracle Healthが侵害を認識 |
| 2025年2月下旬以降 | Oracle Healthが一部顧客への通知を開始 |
| 2025年3月21日 | ハッカーがOracle Cloudのデータ窃取を主張※Oracleは否定 |
| 2025年3月中旬 | FBIが捜査を開始と報道 |
| 2025年3月31日 | Oracleを被告とする集団訴訟が提起 |
| 2025年4月7日 | OracleがOracle Cloudへの情報漏洩を再度否定 |
集団訴訟で原告がOracleの初動対応を批判
今回のデータ漏洩に関連して、米テキサス州の連邦地裁には集団訴訟が提起されました。原告はフロリダ州のMichael Toikach氏で、訴訟はOracleがクラウド環境で管理していた約600万件の認証情報が漏洩したにもかかわらず、被害者に60日以内の通知を行わなかったと主張しています。
訴状では、「Oracleはセキュリティ脅威を封じ込めたかどうかを明示しておらず、被害者は今も不安を抱えている」と指摘。さらに、「情報漏洩の規模を踏まえれば、通知と説明は極めて重要である」として、金銭的補償と再発防止策の導入を求めています。
セキュリティ専門家からの批判と業界への影響
Beagle SecurityのアドバイザーであるSunil Varkey氏は、「この事件はクラウドセキュリティの前提を根底から覆すもの」と指摘。「テナント分離により被害が局所化されるという神話が崩れた」と述べ、クラウド事業者の信頼性に疑問を投げかけました。
また、脅威インテリジェンス企業CloudSEKは、今回の攻撃で漏洩したとされるデータがOracle CloudのSSO(シングルサインオン)やLDAPシステムから抽出されたものであると報告。CISAが過去に警告していた脆弱性「CVE-2021-35587」が悪用された可能性があるとしています。
Varkey氏はさらに「SSOのような共通エンドポイントが破られると、それは単なる情報漏洩に留まらず、“ウォータリングホール型”の攻撃地点になる」と警鐘を鳴らしました。
日本政府のガバメント・クラウドのサービス提供事業者に選定
日本オラクルが提供する「Oracle Cloud Infrastructure(OCI)」2022年にガバメントクラウドとして認定されており、デジタル庁が提供する本人確認や調査研究の基盤への活用が検討されています。
2025年4月に札幌市が導入
また、政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:ISMAP)にも登録されており
本インシデントによる漏洩が現実味を帯びている中、政府や関係省庁は日本でも影響が発生するか調査や発表を実施する必要がありますが、日本政府や官公庁は公式発表を行っていません。
札幌市の回答
セキュリティ対策Labは本件に関して2025年4月7日に札幌市へ質問したところと回答を頂きました。
「札幌市においては、令和10年1月の自治体システム標準化に向け、現在活動を推進している状況にございます。そのため、現時点ではOracle Cloud Infrastructure(OCI)上でのシステム稼働やデータ配置は行われておりません。ガバメントクラウドの利用においては、クラウドサービスプロバイダ(CSP)との契約主体はデジタル庁であり、地方公共団体の視点からは、デジタル庁がガバメントクラウドの提供及びセキュリティに関する責任を担っているものと認識しております。しかしながら、セキュリティ対策においては、今後も国との連携を密にし、相互に協力しながら実施してまいります。」
としています。
一部参照
関連記事
Oracle、Oracle Cloudへのサイバー攻撃による情報漏洩を再度否定、「無関係な旧式サーバー2台への不正アクセスのみ」
Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)
Oracle Health、サイバー攻撃により情報漏洩の可能性
ハッカーがOracle Cloudへ不正アクセスし600万件の情報窃取を主張、Oracleは否定
Oracleの不正アクセスによる個人情報漏洩 疑惑が訴訟に発展
Oracle Healthからの医療情報の漏洩 疑惑でFBIが捜査開始か
インテンスが運営するショップサイト「fofo」へ不正アクセス 約1.5万人の個人情報漏洩
フォルクスワーゲンへランサムウェア「8Base」がハッキングとデータ窃取を表明
ゴースト ランサムウェアが70ヶ国以上の組織へ不正アクセスとサイバー攻撃