ハーバード大学、Oracleゼロデイ脆弱性に関連する情報漏洩を調査
ハーバード大学は、Clopランサムウェアグループが同大学をデータ漏洩サイトに掲載したことを受け、データ侵害の調査を進めています。この侵害は、OracleのE-Business Suiteサーバーにおける最近開示されたゼロデイ脆弱性によって引き起こされた可能性が高いとされています。
ハーバード大学情報技術の広報担当者はBleepingComputerに対し、「ハーバード大学は、Oracle E-Business Suiteシステムのゼロデイ脆弱性の結果として、大学に関連するデータが取得されたという報告を認識しています。この問題は多くのOracle E-Business Suiteの顧客に影響を与えており、ハーバード大学に固有のものではありません」と述べました。
さらに、「調査は進行中ですが、このインシデントは小規模な管理部門に関連する限られた数の関係者に影響を与えていると考えています。Oracleからパッチを受け取り次第、脆弱性を修正するために適用しました。引き続き監視しており、他の大学システムへの侵害の証拠はありません」と付け加えました。
事件の背景:ClopランサムウェアとOracle E-Business Suite
今月初め、MandiantとGoogleは、多数の企業がOracle E-Business Suiteシステムから機密データが盗まれたと主張するメールを受け取る新たな恐喝キャンペーンを追跡し始めました。これらのメールはClopランサムウェアオペレーションからのもので、身代金が支払われなければ盗まれたデータが漏洩すると警告していました。
ClopはBleepingComputerに対し、彼らがメールの背後にいること、そして新たなOracleの脆弱性がデータ窃盗攻撃で悪用されたことを確認しました。Clopは「Oracleがそのコア製品でバグを起こし、再びClopが事態を救う任務を負うことになるのは、すぐに明らかになるだろう」と述べています。
その後すぐに、OracleはCVE-2025-61882として追跡される新たなゼロデイがソフトウェアで発見されたことを確認し、緊急アップデートを発行しました。
Clopグループの過去のゼロデイ攻撃
Clop恐喝グループは、大規模なデータ窃盗攻撃でゼロデイ脆弱性を悪用してきた長い歴史があります。これには以下が含まれます:
- 2020年:Accellion FTAプラットフォームのゼロデイを悪用し、約100の組織に影響を与えました。
- 2021年:SolarWinds Serv-U FTPソフトウェアのゼロデイを悪用しました。
- 2023年:GoAnywhere MFTプラットフォームのゼロデイを悪用し、100社以上を侵害しました。
- 2023年:MOVEit Transferのゼロデイを悪用した攻撃は、Clopにとってこれまでで最も広範なキャンペーンであり、ゼロデイエクスプロイトにより世界中の2,773組織からデータが盗まれました。
- 2024年:2つのCleoファイル転送ゼロデイ(CVE-2024-50623およびCVE-2024-55956)を悪用し、データを盗み、企業を恐喝しました。
今後の見通し
ハーバード大学は、Oracle E-Business Suiteのゼロデイ攻撃に関連する最初の組織ですが、今後数日から数週間でさらに多くの組織がリストアップされる可能性が高いと見られています。