Oracle CloudのSSOログインサーバへの侵害で新報道 「Oracleが隠蔽を図った」と主張：セキュリティニュースアラート

Oracle CloudのSSOログインサーバへの侵害を巡る一連の問題で、新たな報道があった。セキュリティニュースメディアの「DoublePulsar」はOracleがセキュリティインシデントを顧客に対して隠蔽しようとしていると報じた。

[後藤大地，有限会社オングス]

　「Oracle Cloud」のSSOログインサーバの侵害を巡る問題が深刻化している。コンピュータ情報サイト「Bleeping Computer」が2025年3月21日（現地時間、以下同）に報じたこのインシデントは、脅威アクター「rose87168」が600万件の認証データおよび暗号化されたパスワードを窃取したと主張し、ハッキングフォーラムで販売を試みたことから始まっている。Oracleは一貫して侵害は発生していないとの立場を取っているが、後に明らかになった情報によってその主張の正当性に疑問が生じている。

Oracle Cloudのインシデント　セキュリティメディアがOracleの隠蔽工作を主張

　Bleeping Computerはさらに複数の企業が流出したデータの正当性を認めたことを2025年3月26日に報じている。脅威アクターは、影響を受けた企業や政府機関のドメインリストやLDAPデータ、データベース情報などを公開し、さらにはOracleのサーバ上に自身のメールアドレスが記載されたファイルを作成したと主張した。この事実が証明されれば、脅威アクターがOracleのシステムに侵入し、書き込み権限を持っていたことを示唆するものとなる。

　Oracleはこの時点でも「Oracle Cloudへの侵害は発生していない」との立場を崩さなかった。しかし新たに報じられた情報によると、Oracleが証拠を秘匿しようとしていた可能性が浮上しているという。セキュリティニュースメディアの「DoublePulsar」は2025年4月1日（現地時間）、Oracleがセキュリティインシデントを顧客に対して秘匿しようとしていると報じた。

　DoublePulsarは「脅威アクターは『login.us2.oraclecloud.com』に書き込み権限を持っていた証拠として、アーカイブサイト『archive.org』」にファイルのURLを提供していた。これに対しOracleはarchive.orgにこの証拠の削除を要請した」と主張している。同URLは削除されたものの、別の証拠となるURLは依然として閲覧可能な状態となっている。さらに脅威アクターはOracleの内部会議の音声データを公開しているという。

　Oracleは一貫してOracle Cloudの侵害は発生していないとしている。しかしDoublePulsarは「Oracleが『Oracle Cloud』とその旧サービス名称である『Oracle Classic』を使い分けることで責任を回避しようとしている」と指摘している。

　「ITmedia エンタープライズ」は「Oracleがarchive.orgにこの証拠の削除を要請した」というDoublePulsarの主張について、日本オラクルに問い合わせたものの、回答は得られなかった。

　rose87168は現在も活動を続けており、さらなるデータの公開を示唆している。今後も新たな情報が流出する可能性があり、Oracleが今後、同セキュリティ侵害にどのように対応するのかが注目される。