Oracle Cloudが侵害され600万件のデータが漏えいか Oracleは侵害を否定：セキュリティニュースアラート

コンピュータ情報サイト「Bleeping Computer」は、脅威アクターがOracle CloudのSSOログインサーバから600万件のデータが窃取し、ハッキングフォーラムで販売を開始したと報道した。一方でOracleは侵害を否定している。

[後藤大地，有限会社オングス]

　コンピュータ情報サイト「Bleeping Computer」は2025年3月21日（現地時間）、脅威アクターがOracleの「Oracle Cloud」のSSOログインサーバから窃取したとみられる600万件のデータを販売していると主張した。

　一方でOracleは脅威アクターの主張に対して「侵害はなかった」と否定しており、「Oracle Cloudのユーザーは侵害を受けたり、データ紛失を被ったりすることはなかった」と説明している。

Oracleは侵害を否定　脅威アクターの主張は？

　Oracle CloudのSSOログインサーバからデータを窃取した脅威アクターは「rose87168」と認識されている。この脅威アクターは窃取したと主張するデータをハッキングフォーラム「BreachForums」においてゼロデイエクスプロイトと引き換えに販売しているという。販売価格は非公開だ。

　同脅威アクターがBleeping Computerに語ったとされる内容や、主張している内容は以下の通りだ。

• 全てのOracle Cloudサーバが脆弱性情報データベース（CVE）に登録された脆弱（ぜいじゃく）性を抱えている。ただし、その脆弱性はPoC（概念実証）やエクスプロイトは公開されていない
• 暗号化されたSSOパスワードやJava Keystore（JKS）ファイル、キー・ファイル、Enterprise ManagerのJPSキーなどのデータはlogin.（region-name）.oraclecloud.comのOracleサーバに侵入して窃取した
• 脅威アクターは約40日前にOracle Cloudサーバにアクセスした。米国のUS2およびEM2リージョンからデータを窃取したのちに、Oracleに電子メールを送った
• 脅威アクターは侵入手口の情報提供と引き換えに仮想通貨「Monero」（単位はXMR）を10万XMR要求したが、Oracleは「修正・パッチに必要な全ての情報」の提示を求めた後に支払いを拒否した

　脅威アクターの主張が必ずしも事実とは限らない点には注意が必要だ。Oracleはデータ窃取を否定しており、本稿執筆時点で真偽は不明な状況にある。Bleeping Computerはデータが窃取されたとみられる複数の企業に連絡を取り、その真偽を確認中としている。返答があり次第記事を更新するとしており、今後の展開に注視し、追加情報の公開に備える必要がある。