概要
アメリカン航空の子会社である地域航空会社エンボイ・エアは、同社のOracle E-Business Suiteアプリケーションからデータが侵害されたことを認めました。これは、悪名高いClop恐喝グループがアメリカン航空をデータ漏洩サイトに掲載した後に明らかになったものです。
エンボイ・エアはBleepingComputerに対し、「エンボイのOracle E-Business Suiteアプリケーションに関するインシデントを認識している」と述べ、「事態を把握後、直ちに調査を開始し、法執行機関に連絡した。問題のデータについて徹底的なレビューを実施し、機密性の高い顧客データは影響を受けていないことを確認した。ただし、限られた量のビジネス情報と商業連絡先の詳細が侵害された可能性がある」と説明しました。
事件の詳細
Clopランサムウェアグループは現在、エンボイから盗んだと主張するデータを自身のデータ漏洩サイトで公開しており、「この会社は顧客を気にかけておらず、セキュリティを無視している!」と述べています。
この新たなセキュリティインシデントは、Clop恐喝グループが8月に実施したデータ窃盗キャンペーンに関連しています。同グループは9月に企業に対し、Oracle E-Business Suiteシステムからデータを盗んだと主張して恐喝メールを送り始めました。当初Oracleは、脅威アクターが7月にパッチが適用された脆弱性を悪用したと述べていましたが、後に攻撃でゼロデイ脆弱性「CVE-2025-61882」が悪用されたことを明らかにしました。CrowdStrikeとMandiantはその後、Clopが8月上旬にこの脆弱性を悪用してシステムに侵入し、マルウェアを展開したことを確認しています。
Clopはデータ窃盗攻撃によって影響を受けた企業の数を明らかにしていませんが、Googleのジョン・ハルトクイスト氏はBleepingComputerに対し、数十の組織が影響を受けたと考えているとメールで伝えました。このデータ窃盗キャンペーンの一環として、Clopグループはハーバード大学も恐喝しており、同大学はBleepingComputerに対し、このインシデントが「小規模な管理部門に関連する限られた数の関係者」に影響を与えていることを確認しています。
先週、Oracleは別のE-Business Suiteのゼロデイ脆弱性「CVE-2025-61884」を、2025年7月に積極的に悪用されていたことを開示せずにサイレントパッチしました。このゼロデイは、Shiny Lapsus$ Hunters恐喝グループがTelegramで漏洩させたエクスプロイトに関連しています。
エンボイ・エアとアメリカン航空
エンボイ・エアはアメリカン航空の子会社であり、アメリカンイーグルブランドで地域便を運航しています。独立した会社として機能していますが、発券、スケジュール、旅客サービスにおいてアメリカン航空のネットワークに統合されています。
アメリカン航空は以前にも、2022年と2023年に従業員の個人情報が流出したデータ侵害を経験しています。
Clopランサムウェアグループとは
Clopランサムウェアオペレーションは、TA505、Cl0p、FIN11としても追跡されており、2019年に企業ネットワークに侵入してCryptoMixランサムウェアの亜種を展開し、データを窃盗し始めました。2020年以降、この恐喝グループは主にランサムウェアから、安全なファイル転送またはデータストレージプラットフォームのゼロデイ脆弱性を悪用してデータを窃盗する手法に移行しました。
- 2020年: Accellion FTAプラットフォームのゼロデイを悪用し、約100の組織に影響を与えました。
- 2021年: SolarWinds Serv-U FTPソフトウェアのゼロデイを悪用しました。
- 2023年: GoAnywhere MFTプラットフォームのゼロデイを悪用し、100社以上を侵害しました。
- 2023年: MOVEit Transferのゼロデイ悪用は、Clopにとってこれまでで最も大規模なキャンペーンであり、ゼロデイエクスプロイトにより世界中の2,773組織からデータが窃盗されました。
- 2024年: Cleoファイル転送の2つのゼロデイ(CVE-2024-50623およびCVE-2024-55956)を悪用し、データを窃盗して企業を恐喝しました。
米国務省は現在、Clopのランサムウェア活動と外国政府との関連に関する情報に対して1,000万ドルの報奨金を提供しています。