Oracle Cloudの侵害疑惑 流出したデータは本物だと複数の企業が確認：セキュリティニュースアラート

Oracle CloudのSSOログインサーバで侵害が発生した疑惑が持ち上がった。コンピュータ情報サイト「Bleeping Computer」は流出データの一部に対し、複数企業がその正当性を認めたと報じているが、Oracleは侵害を引き続き否定している。

[後藤大地，有限会社オングス]

　コンピュータ情報サイト「Bleeping Computer」は2025年3月26日（現地時間）、Oracleの「Oracle Cloud」のSSOログインサーバの侵害に関する新たな情報を報じた。

　Oracleは引き続き侵害を否定しているものの、Bleeping Computerが複数の企業に確認を取ったところ、脅威アクターが公開したデータの一部が正当なものであることが判明したという。

公開データの一部は“本物”と主張　Oracleは引き続き侵害を否定

　脅威アクター「rose87168」はOracleのサーバに侵入し、600万件の認証データおよび暗号化されたパスワードを入手したと主張した。さらに窃取したSSOおよびLDAPパスワードは、盗まれたファイル内の情報を使用して復号可能であるとし、データ復元を支援する者に対して一部のデータを提供するとしていた。

　脅威アクターはデータベースやLDAPデータを含む複数のテキストファイルに加え、影響を受けたとされる企業や政府機関の14万621件のドメインリストを公開している。ただし、リストにはテスト用と思われるドメインや一企業に対して複数のドメインが含まれていることが確認されている。

　脅威アクターはデータに加え、Bleeping Computerに対しOracleのサーバである「login.us2.oraclecloud.com」に自身の電子メールアドレスが記載されたテキストファイルを作成したことを示すURLを提供している。このファイルの存在は脅威アクターがOracleのサーバにファイルを作成できた可能性を示唆しており、実際に侵害が発生した証拠となるとみられている。

　Oracleは「Oracle Cloudに侵害は発生していない」との立場を崩さず、「公開された資格情報はOracle Cloudのものではなく、Oracle Cloudの顧客が侵害されたり、データを失ったりすることはなかった」とBleeping Computerに対し説明している。

　Oracleの否定とは対照的にBleeping Computerが入手した流出データのサンプルについて、複数の企業が匿名を条件にその正当性を認めているという。企業の代表者らはデータに含まれていたLDAPの表示名や電子メールアドレス、氏名、その他の識別情報が正しいものと認めており、自社に関連するものであることを確認している。

　Bleeping Computerはこの件についてOracleに繰り返し問い合わせしているが、現時点で同社からの返答は得られていないという。

　データ漏えいの疑いが持たれる事案では企業の公式声明だけでなく、流出データの正当性や影響範囲を慎重に検証することが求められる。認証情報や機密データが流出した場合にはさらなるサイバー攻撃のリスクが高まるため、関係企業やユーザーは適切なセキュリティ対策を講じる必要がある。今後、Oracleやセキュリティ研究者による追加の調査結果が公開される可能性があり、新たな情報の展開を慎重に見極めることが求められる。