はじめに
サイバーセキュリティ企業CrowdStrikeの報告によると、Clopランサムウェアグループが、Oracle E-Business Suite (EBS) の重大なゼロデイ脆弱性(CVE-2025-61882)を悪用し、少なくとも2025年8月上旬からデータ窃取攻撃を行っていたことが明らかになりました。この脆弱性はOracleによって週末にパッチが適用されましたが、すでに多くの企業が被害に遭っている可能性があります。
脆弱性の詳細
CVE-2025-61882は、Oracle EBSのConcurrent Processingコンポーネント内のBI Publisher Integrationコンポーネントで発見されました。この脆弱性を悪用することで、認証されていない攻撃者がユーザーの操作を必要としない低複雑度の攻撃で、パッチ未適用のシステム上でリモートコード実行(RCE)を達成することが可能でした。
- 追跡番号: CVE-2025-61882
- 影響コンポーネント: Oracle E-Business Suite (EBS) のBI Publisher Integration
- 攻撃条件: 認証不要、ユーザー操作不要、低複雑度
- 結果: リモートコード実行(RCE)
watchTowr Labsのセキュリティ研究者たちは、Scattered Lapsus$ Huntersによってオンラインにリークされた概念実証(PoC)エクスプロイトをリバースエンジニアリングした結果、CVE-2025-61882が実際には単一のHTTPリクエストで認証なしにRCEを可能にする脆弱性チェーンであることを発見しました。
攻撃の経緯と関与組織
CrowdStrikeのアナリストは、Clopランサムウェアグループが2025年8月9日にはすでにCVE-2025-61882をゼロデイとして悪用し、機密文書を窃取していたことを報告しています。CrowdStrike Intelligenceは、このキャンペーンに「GRACEFUL SPIDER」が関与している可能性が高いと評価していますが、複数の脅威アクターがこの脆弱性を悪用している可能性も排除していません。
CrowdStrikeは、10月3日のPoC公開とパッチリリースが、特にOracle EBSに精通した脅威アクターによる武器化されたPoCの作成と、インターネットに公開されたEBSアプリケーションへの悪用をほぼ確実に促すだろうと警告しています。
Clopによる脅迫活動
MandiantとGoogle Threat Intelligence Group (GTIG) は先週、Clopが進行中の恐喝キャンペーンの一環として、複数の企業の幹部に電子メールを送り、Oracle E-Business Suiteシステムから盗んだとされる機密データの漏洩を防ぐために身代金を要求していることをBleepingComputerに伝えました。
Oracleの対応と推奨事項
Oracleは、Clopサイバー犯罪グループが主張する恐喝メールとCVE-2025-61882のOracle EBS脆弱性を関連付け、顧客に対し、この積極的に悪用されている脆弱性へのパッチ適用を最優先するよう強く促しました。Oracleは、顧客が常にアクティブにサポートされているバージョンを使用し、すべてのセキュリティアラートとCritical Patch Updateのセキュリティパッチを遅滞なく適用することを推奨しています。
Clopの過去の活動と国際的な動き
Clop恐喝グループは、ゼロデイ脆弱性を悪用した大規模なデータ窃取キャンペーンで長い歴史を持っています。最近では、Cleoのセキュアファイル転送ソフトウェアのゼロデイ脆弱性(CVE-2024-50623)を標的とした攻撃で、1月に数十の被害者からファイルを窃取し、恐喝を行いました。これ以前にも、Accellion FTA、GoAnywhere MFT、MOVEit Transferのゼロデイを悪用した複数のデータ窃取キャンペーンに関与しており、特にMOVEit Transferの件では2,770以上の組織が影響を受けました。
米国務省は現在、Clopのランサムウェア攻撃と外国政府との関連性を示す情報に対して、1,000万ドルの報奨金を提供しています。