Oracle Databaseを悪用するランサムウェア「Elons」の攻撃事例を公開：セキュリティニュースアラート

YarixはOracle Database Serverを悪用した攻撃事例を公開した。攻撃者は認証情報窃取、Ngrok導入、権限昇格を経てランサムウェアを実行したと報告している。パッチの最新更新やアクセス制御、詳細なログ保持などの対策が重要となる。

[後藤大地，有限会社オングス]

　Yarixは2025年9月16日（現地時間）、自社のインシデントレスポンスチーム（YIR）が対応した実際の攻撃事例を公表した。そこでは、Oracle Database Serverを足掛かりにした侵入からランサムウェアの実行まで、攻撃の一連の流れが紹介されている。

「Elons」亜種ランサム攻撃事例、侵入経路と防御の要点

　サイバー攻撃者は「Oracle Database Scheduler」の機能を利用し、認証試行を繰り返すことで正規の資格情報を入手したとみられている。外部ジョブ機能（extjobo.exe）を介してシステム権限でコマンドを実行し、PowerShellを利用して不正な通信を開始。通信先には攻撃者が管理するC2サーバが含まれており、そこから追加のプログラムがダウンロードされていたという。

　攻撃者は「Ngrok」という正規ツールを導入し、暗号化されているトンネルを使って侵入先と自らの環境を接続する。これによってリモートデスクトップ接続が可能となり、内部での活動を隠蔽（いんぺい）しつつ接続を維持できる。Ngrokの設定ファイルも被害サーバに作成され、認証トークンが書き込まれていたことが確認されている。

　攻撃者は新しいローカルユーザー「Admine$」を作成し、管理者グループに追加することで権限を拡大させている。また、プロセス操作や資格情報窃取に利用されるツール「Process Hacker」も配置されていたことも確認されている。最終的には「win.exe」と呼ばれる実行ファイルによってランサムウェアが展開され、サーバ内のファイルが暗号化されている。

　暗号化が開始されると、同時に「Elons_Help.txt」という名称の身代金要求文が生成され、被害企業に対し暗号資産での支払いを迫る。タスクスケジューラを利用した自動実行の設定や、一部の証跡削除を狙った処理も確認されている。削除されているツールやファイルが多く存在したため、調査チームは一部の痕跡を復元できなかったものの、活動の流れ自体は再現可能だったという。

　今回の調査において、データの持ち出しは確認されていない。外部の流出サイトや関連する公開情報を調査しても被害組織に関する情報は見つからず、暗号化による業務妨害が主目的であったとみられている。

　Yarixのサイバー脅威インテリジェンスチームはこの攻撃に関連するインフラやツールについて追加調査を実施した。過去に金融機関や政府機関を狙った不正活動と関連付けられたIPアドレスも含まれ、今回確認されている「Elons_Help.txt」という身代金要求文は既知のランサムウェア「Proxima/BlackShadow」ファミリーの派生「Elons」の亜種と一致する可能性が高いとされている。

　Yarixは今回のケースを通じ、公開されているサービスやミドルウェアの更新不足が深刻な侵入経路となり得ること、攻撃者が正規ツールや一般公開されているコードを巧妙に流用している点を強調している。継続的なパッチ適用、厳格なアクセス制御、詳細なログの保持などの対策を実施することが推奨される。