はじめに
Oracleは、同社のE-Business Suiteを利用する顧客を標的とした恐喝メールの波状攻撃について調査を開始しました。ハッカーはClopランサムウェアグループとの関連を主張し、データ窃取をほのめかしています。この攻撃は、今年7月にOracleが公開した重要な脆弱性と関連している可能性が指摘されています。
攻撃の詳細
2025年9月以降、Oracle E-Business Suiteを使用する数百社の企業幹部に対し、ハッカーから恐喝メールが送付されています。これらのメールは、企業から機密データが盗まれたと主張しています。Oracleの最高セキュリティ責任者であるRob Duhart氏は、今回の攻撃が7月に開示された脆弱性に関連している可能性が高いと述べました。
Oracleの対応と推奨事項
Oracleは現在、この一連の攻撃について調査を進めています。Duhart氏は、顧客に対し、7月のセキュリティアップデートを速やかに確認し、システムにパッチを適用して保護を強化するよう強く推奨しています。
脅威アクターの特定
Google Threat Intelligence Groupは、Clopとの関連を主張するハッカーが企業幹部に恐喝メールを送っていると警告しました。GoogleとMandiantのインシデント対応チームは、このグループをFIN11として追跡しており、Clopとの歴史的なつながりが強いことを指摘しています。恐喝メールに記載された連絡先は、過去にClopが使用したものと一致しています。
Krollもまた、ClopをKTA080として追跡しており、過去のKTA080(Cl0p)の恐喝要求と一致するランサム要求メールを確認しています。Krollの研究者によると、ハッカーは機密性の高いERPデータへのアクセスを主張するスピアフィッシングメールを送信しているとのことです。
Clopランサムウェアグループの背景
Clopランサムウェアグループは、その悪名高い活動で広く知られています。特に、
- 2023年にはMOVEitファイル転送ソフトウェアの脆弱性を悪用した攻撃
- 最近ではCleoファイル転送ソフトウェアの脆弱性を悪用し、小売業者や物流企業に対する数十件の攻撃
に関与したとされています。
企業への警告と対策
MandiantとKrollの研究者は、企業がこれらの恐喝要求を真剣に受け止め、データ窃取や侵害の可能性がないかシステムを徹底的にチェックすべきだと助言しています。