Oracleへの侵害疑惑から何を学ぶ？ CISAが提言するセキュリティ対策：Cybersecurity Dive

2025年3月に「Oracle Cloud」のSSOログインサーバの侵害疑惑が持ち上がった。このようなインシデントが発生する可能性を踏まえて、顧客はどのような対策を講じればいいのか。CISAが提言したセキュリティ対策を見てみよう。

[David Jones，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）は2025年4月16日（現地時間、以下同）、「Oracleのレガシーなクラウド環境に侵害の恐れがあるため、組織や個人は自社の環境を保護するための対策を講じるべきだ」と述べた（注1）。

Oracleへの侵害疑惑から何を学ぶ？　CISAが提言するセキュリティ対策

　CISAの警告では、Oracleの顧客を狙った脅威活動が報告されていることが認められたが、その範囲や影響はまだ確認されていないとされている。また、米国連邦捜査局（FBI）は2025年4月の初めに報告された攻撃についてコメントを控えた。

　CISAは、報告された脅威活動が組織や個人に対してリスクをもたらすと警告した。特に認証情報が露出し、異なるシステム間で再利用されたり、アプリケーションやツールに埋め込まれたりする状況においてリスクが高まるという。

　CISAは「スクリプトやアプリケーション、インフラのテンプレート、自動化ツールにハードコードされた認証情報が含まれている可能性がある」と述べている。同機関は「埋め込まれた認証情報は検出が難しく、認可されていない者による長期的なアクセスを可能にする恐れがある」と警告している。

　ガイダンスには次の記載がある。

　「ユーザー名や電子メールアドレス、パスワード、認証トークン、暗号化キーを含む認証情報の侵害は、企業環境に重大なリスクをもたらす可能性がある」

　CISAによると、組織は以下のステップを踏むべきだという。

• ローカルの認証情報が企業のアイデンティティーソリューションを通じて連携されていない場合、影響を受けたユーザーのパスワードをリセットする
• ソースコードやインフラストラクチャのコードテンプレート、自動化スクリプト、設定ファイルを確認し、ハードコーディングされた認証情報や埋め込まれた認証情報を探す。一元化された秘密管理によってサポートされる安全性の高い認証方法を使用して、それらを置き換える
• 認証ログを監視して、特に特権アカウントやサービスアカウント、連携用のIDアカウントに関連する異常なアクティビティーがないかどうかを確認する
• フィッシングに強い多要素認証を、可能な限り全てのユーザーおよび管理者アカウントに適用する

　攻撃者が最大600万件の記録を含む大規模な侵害を主張し（注2）、最大14万件のテナントに影響を与える可能性があると述べた1カ月以上後に、CISAのガイダンスが発表された。セキュリティ企業であるCloudSekは、「Oracle Cloud」のログインエンドポイントに存在する脆弱（ぜいじゃく）性を悪用したハッカーに関する調査結果を発表している。

　サイバーセキュリティ事業を営むTrustwaveのセキュリティチームであるSpiderLabsは（注3）、2025年3月にデータセットを分析した後、主張された侵害を裏付ける追加の調査結果を提供した。

　Oracleは、Oracle Cloudの環境に対する侵害を否定しているが、複数の調査企業が侵害の疑いのある証拠を確認した後も明確な説明はしていない。

　米国ミズーリ州西部地区の地方裁判所にOracle Healthに対する集団訴訟が提起され、また、テキサス州西部地区の地方裁判所には、Oracle Corp.に対する別の訴訟が2025年3月に提起された。

　これらの主張がなされた後も、Oracleは顧客が何をすべきかについての公的なアドバイザリーやガイダンスを提供していない。情報セキュリティ担当者は「Cybersecurity Dive」に対して「支援を求めていた特定の顧客に対してプライベートでアドバイスはしたものの、公的なアドバイザリーは実施していない」と述べている。

　Oracleの広報担当者は2025年4月の初めに、「Cybersecurity Dive」に対して電子メールで次のように述べた。

　「Oracle Cloudに対する侵害は確認されなかった。公開された認証情報はOracle Cloudのものではない。顧客は侵害を受けておらず、データも失われていない」

　情報セキュリティ領域のリーダーたちは、Oracleにさらなる透明性を求めている。Oracleは、Oracle Cloudが侵害されたという報告について、否定以外の公的な説明を拒否している。

　サイバーセキュリティの脅威や脆弱性に関する情報を共有しているIT-ISACのジョナサン・ブレイリー氏（脅威インテリジェンスディレクター）は「私たちは、提供された情報をもとにメンバーと引き続き連携している」と述べた。

　また、ブレイリー氏は電子メールで次のように述べている。

　「共有に使用できる信頼性の高い情報が含まれている点で、このアドバイザリーは有益だ。CISAは、潜在的な不正アクセスの軽減に積極的な姿勢を取っているようであり、私たちはOracleによる詳細の報告を待っている」

　医療業界に特化した情報分析センターであるHealth-Information Sharing and Analysis Centerのエロール・ワイス氏（最高セキュリティ責任者）は、Cybersecurity Diveに対して電子メールで次のように述べた。

　「Oracleにおける透明性の欠如に失望している。私たちは同社に対し、会員限定のコミュニティーを通じて情報を共有するよう求めたが、その申し出はまだ実行されていない」

（注1）CISA Releases Guidance on Credential Risks Associated with Potential Legacy Oracle Cloud Compromise（CISA）
（注2）Researchers back claim of Oracle Cloud breach despite company’s denials（Cybersecurity Dive）
（注3）Hacker linked to Oracle Cloud intrusion threatens to sell stolen data（Cybersecurity Dive）

原文へのリンク