概要:ハーバード大学がOracleゼロデイ脆弱性による情報漏洩を調査
ハーバード大学は、Clopランサムウェアグループが同校をデータ漏洩サイトに掲載したことを受け、情報漏洩の調査を開始しました。この漏洩は、OracleのE-Business Suiteサーバーにおける最近開示されたゼロデイ脆弱性が原因である可能性が高いとされています。
ハーバード大学の声明
ハーバード大学情報技術の広報担当者は、BleepingComputerに対し、「大学に関連するデータがOracle E-Business Suiteシステムのゼロデイ脆弱性の結果として取得されたという報告を認識しています。この問題は多くのOracle E-Business Suiteの顧客に影響を与えており、ハーバード大学に特有のものではありません」と述べました。
さらに、「調査は進行中ですが、このインシデントは小規模な管理部門に関連する限られた数の関係者に影響を与えていると考えています。Oracleからパッチを受け取った後、脆弱性を修正するために適用しました。引き続き監視しており、他の大学システムへの侵害の証拠はありません」と付け加えています。
Clopグループの関与と脅迫
この声明は、Clop恐喝グループがハーバード大学をデータ漏洩サイトに追加し、近く大学のデータを公開すると表明した後に発表されました。今月初め、MandiantとGoogleは、多数の企業がOracle E-Business Suiteシステムから機密データが盗まれたというメールを受け取る恐喝キャンペーンを追跡し始めました。
これらのメールはClopランサムウェアグループからのもので、身代金が支払われなければ盗まれたデータが漏洩すると警告していました。Clopは攻撃の詳細を共有しなかったものの、BleepingComputerに対し、彼らがメールの背後にあり、新しいOracleの脆弱性がデータ窃盗攻撃に悪用されたことを確認しました。Clopグループは、「Oracleがそのコア製品を台無しにし、再びClopが事態を救う時が来たことが、すぐに明らかになるだろう」とBleepingComputerに語っています。
Oracleの緊急対応
その後、OracleはCVE-2025-61882として追跡されている新しいゼロデイ脆弱性を確認し、緊急アップデートを発行しました。
Clopグループの過去のゼロデイ悪用事例
Clop恐喝グループは、ゼロデイ脆弱性を悪用した大規模なデータ窃盗攻撃の長い歴史を持っています。主な事例は以下の通りです。
- 2020年: Accellion FTAプラットフォームのゼロデイ脆弱性を悪用し、約100の組織に影響を与えました。
- 2021年: SolarWinds Serv-U FTPソフトウェアのゼロデイ脆弱性を悪用しました。
- 2023年: GoAnywhere MFTプラットフォームのゼロデイ脆弱性を悪用し、100社以上が侵害されました。
- 2023年: MOVEit Transferのゼロデイ脆弱性を悪用した攻撃は、これまでで最も広範なキャンペーンとなり、世界中の2,773の組織からデータが盗まれました。
- 2024年: 2つのCleoファイル転送ゼロデイ脆弱性(CVE-2024-50623およびCVE-2024-55956)を悪用し、企業からデータを盗み、恐喝しました。
今後の見通し
ハーバード大学は、Oracle E-Business Suiteのゼロデイ攻撃に関連して名前が挙がった最初の組織ですが、今後数日から数週間のうちに、さらに多くの組織がリストに掲載される可能性が高いと見られています。