サイバーセキュリティ企業、CloudSEKが最近発表したレポートによると、脅威アクターがOracle Cloudから盗んだ600万件のデータをハッカーフォーラムで販売しており、この脅威アクターは14万以上のOracleCloudのテナントに対してデータ削除の見返りに金銭の支払いを要求しているということです。しかし、OracleはCloudSEKのレポートを全面的に否定しているようです。
既知の脆弱性を悪用して侵害か
CloudSEKは、「2025年最大のサプライチェーンハッキング」との衝撃的な見出しでOracle Cloudから600万件のデータが流出し、14万以上のテナントに影響が出ているとのレポートを発表しました。このレポートによると、rose87168を名乗る脅威アクターがOracle CloudのSSO(Single Sign On)とLDAP(Lightweight Directory Access Protocol)から盗んだ600万件のデータを販売しているということです。販売されているデータにはJKSファイル、暗号化されたSSOパスワード、キーファイルなどが含まれているということです。LDAPはネットワーク内の情報を一元管理するディレクトリサービスにアクセスするプロトコルでLDAPサーバーはユーザーのアカウント情報をリクエストに応じて提供する機能があります。SSOはシングルサインオンと呼ばれ一度の認証で複数のシステムにログインできる機能で、シングルサインオンの認証を行う際にLDAPが使われています。
CloudSEKのレポートによると、rose87168を名乗る脅威アクターは今年1月から活動しており、login.us2.oraclecloud.comに未知の脆弱性があることを示唆しているということです。またlogin.us2.oraclecloud.comはハッキング後に削除されたと主張しているということです。CloudSEKで調べたところlogin.us2.oraclecloud.comの履歴がネット上に残っており、ホストしているサーバーにはOracle Access Manager(OpenSSO Agent)に影響する重大な既知の脆弱性があったということです。この脆弱性は米CISAが公開している悪用が確認された脆弱性のデータベースであるCISA KEV(既知の悪用された脆弱性)に2022年12月に追加されているようです。この脆弱性が悪用されると、Oracle Access Managerが乗っ取られる可能性があるということです。
攻撃者は今年1月に、この既知の脆弱性を悪用してHTTP経由でネットワークにアクセスしOracle Access Managerを侵害したとCloudSEKのレポートは結論付けていて、暗号化されたSSOおよびLDAPパスワードが解読されるとOracle Cloudの環境全体でさらなる侵害が発生する可能性があると警鐘を鳴らしています。また脅威アクターは未知の脆弱性を悪用したことを示唆していることからゼロディ脆弱性の疑いがあり、今後、Oracle Cloudに対する攻撃が行われる可能性への懸念を表明しています。
Oracle「認証情報はOracle Cloudのものではない」
CloudSEKのレポートに対してOracleは侵害を全面的に否定していて、Oracleは攻撃者が盗んだと主張して公開している認証情報はOracle Cloudのものではなく、Oracleの顧客は侵害されたり、データを失ってはいないと主張しているということです。サイバーセキュリティ系のニュースサイト等ではOracleの否定を疑問視する記事が散見される一方、ハッカーがデータ漏えいをでっちあげるケースもあることから偽造データの可能性を指摘する声もあり、Oracle Cloudへの侵害事実の有無についてネット上で議論が繰り広げられている状況です。
こうした中、Bleeping ComputerはOracle Cloudからデータを盗んだと主張している脅威アクターにコンタクトをとってサンプルデータを入手したことを明らかにし、それらサンプルデータを関係する企業に確認したところすべて正当なものだったと報じました。また、Bleeping Computerによると脅威アクターはメールでOracleに接触しているようです。
■出典
https://www.theregister.com/2025/03/23/oracle_cloud_customers_keys_credentials/