Oracleがログインデータが流出したセキュリティインシデントを公式に認める

2025年3月21日、「rose87168」と名乗るハッカーがOracleのクラウドサービス「Oracle Cloud」のシングルサインオン(SSO)ログインサーバーから約600万件の顧客データを盗み出して販売しました。これに対し、Oracleは当初「不正アクセスは発生していない」との声明を発表していましたが、Oracleは2025年4月に、不正アクセスの事実を認め、顧客に対してその事実を報告したことが伝えられました。

Oracle (ORCL) Tells Clients of Second Recent Hack, Log-in Data Stolen - Bloomberg
https://www.bloomberg.com/news/articles/2025-04-02/oracle-tells-clients-of-second-recent-hack-log-in-data-stolen

Oracle tells clients of second recent hack, log-in data stolen, Bloomberg News reports | Reuters
https://www.reuters.com/technology/cybersecurity/oracle-tells-clients-second-recent-hack-log-in-data-stolen-bloomberg-news-2025-04-02/

「rose87168」を名乗る脅威アクターは2025年3月21日に、ハッキングフォーラム上で「Oracle CloudのSSOログインサーバーから600万件にのぼるSSOパスワードやキーストアファイル、キーファイルなどを盗み出した」と主張し、販売しました。

さらにrose87168は「Oracleの管理下にある『login.us2.oraclecloud.com』上に自分のメールアドレスを含むテキストファイルをアップロードした」と主張し、証拠としてInternet ArchiveのURLを提示しています。

これに対しOracleは「Oracle Cloudでのデータ流出は発生していません。当該脅威アクターが公開したログイン資格証明はOracle Cloudのものではありません。ゆえに、Oracle Cloudを利用する顧客に被害が及ぶことはありません」との声明を発表しました。その一方で、rose87168が証拠として提示したInternet Archiveのページを削除するよう要請したことが報じられています。

Oracleが自社クラウドで発生した深刻なセキュリティインシデントを顧客から隠そうとしてInternet Archiveに削除要求していることが暴露される - GIGAZINE

海外メディアのMidiumはOracleに対し「Oracleは、Oracle Cloudをめぐる騒動において言葉巧みに責任を回避しようとしています。これは許されることではありません。Oracleは何が起きたのか、それが顧客にどのような影響を与えるのかについて、明確かつオープンに伝える必要があります」と訴えていました。

そして2025年4月、Oracleは一部のクライアントに対し「ハッカーがコンピューターシステムに侵入し、ユーザー名やパスキー、暗号化されたパスワードにアクセスした」と通知し、不正アクセスの事実を認めました。関係者によると、OracleはFBIとサイバーセキュリティ企業のCrowdStrikeと共同で事件の調査を実施しているとのこと。また、Oracleに対してハッカーがデータの身代金を要求していることも伝えられています。

Oracleによると、今回の攻撃者は「レガシー環境」と呼ばれる8年間にわたり使用されていないシステムに侵入したとのこと。そのため、「盗まれたクライアントの資格情報がリスクをもたらすことはおそらくありません」と顧客に通知しています。しかし、ある関係者は「盗まれたデータには2024年までのOracleの顧客のログイン資格情報が含まれていました」と述べています。

サイバーセキュリティ企業・Trustwave SpiderLabs Threat Intelligenceのシニアセキュリティサーチマネージャーであるカール・シグラー氏は、rose87168が販売するデータがOracleから盗み出されたものであることを認め、「一連のデータは、ハッカーが対象に向けてフィッシングメールを送信し、ユーザーのアカウントを乗っ取るために使用できる豊富なデータセットです」と指摘しました。