ランサムウェア「Cl0p」がOracle EBSを悪用し最大5000万ドルを恐喝：セキュリティニュースアラート

ランサムウェアグループCl0pは、Oracle E-Business Suiteの構成と機能を悪用し、企業の認証情報を不正取得して恐喝を実行している。Halcyonはアクセス制限や多要素認証導入を強く推奨している。

[後藤大地，ITmedia]

　Halcyonは2025年10月2日（現地時間）、ランサムウェアグループ「Cl0p」が「Oracle E-Business Suite」（EBS）を悪用し、企業アカウントを乗っ取り恐喝していると伝えた。

　Cl0pはインターネットに公開されているEBSポータルのローカルログインページを介して攻撃しており、被害者に最大5000万ドルの身代金を要求している。HalcyonはEBSの構成と標準的なビジネスロジックが攻撃の要因であり、特定の脆弱（ぜいじゃく）性に起因するものではないと分析している。

Oracle EBSのパスワードリセット機能を悪用する攻撃が流行か

　サイバー攻撃者は標的企業に勤めるユーザーの電子メールアカウントを侵害し、EBSの既定パスワードリセット機能を不正に利用して有効な認証情報を取得する。EBSのローカルアカウントは企業のシングルサインオン（SSO）制御を回避できる構造にあり、多要素認証（MFA）が未導入の環境では不正ログインが成立するリスクがある。

　Halcyonはこの手法によって世界中の多数の組織が影響を受けていると警告している。攻撃者は侵害の証拠としてスクリーンショットやファイル構成を提示し、支払い要求を強めている。

　標的となるのは、インターネット経由でアクセス可能なAppsLocalLogin.jspを含むEBS環境とされている。Halcyonは緊急対策として、該当ポータルの公開状況を確認し、直ちにアクセスを制限することを推奨している。この他、全てのアカウントにMFAを適用し、EBS環境へのインターネット経由の接続を堅牢（けんろう）なリバースプロキシ経由に限定する措置を求めている。パスワードリセット機能の二次認証化、異常なログイン試行の監視、電子メールの防御強化、実行前防御を含む専用のランサムウェア対策製品の導入を推奨している。

　Cl0pは医療や金融、政府機関など多岐にわたる業界を標的として活動を拡大している。HalcyonはCl0pを「最も破壊的なランサムウェア・アズ・ア・サービス（RaaS）運営組織の一つ」と位置付けており、二重恐喝（データ暗号化と情報公開の両立）によって被害企業への圧力を強めていると説明している。

　Oracleは公式セキュリティブログで「Oracle Security Alert CVE-2025-61882」を公表し、EBSに存在する新たな脆弱性への対策を案内している。今回の対応は、Cl0pによるランサムウェア攻撃で悪用されているとHalcyonが指摘したEBSの問題に関連したものと見られる。

　この脆弱性は認証不要で遠隔から悪用される恐れがあり、成功すればリモートコード実行につながる可能性がある。Oracleの最高セキュリティ責任者ロブ・デュハート氏は、悪用の可能性を確認したとして、顧客に対し早急な修正プログラムの適用を呼びかけている。

　現時点でOracleは被害の範囲や対象企業を公表していないが、EBSを用いた基幹業務を運用する企業にとって、今回の事案は深刻な警鐘となっている。Halcyonは引き続き攻撃キャンペーンの監視を継続しており、組織にはログ監査とアカウント制御の徹底を求めている。