ペンシルベニア大学、再びデータ侵害の標的に
ペンシルベニア大学(Penn)は、同大学のOracle E-Business Suite(EBS)サーバーから個人情報を含む文書が盗まれた新たなデータ侵害を発表しました。この攻撃は2025年8月に発生し、Oracle EBSの未知のセキュリティ脆弱性(ゼロデイ脆弱性)が悪用されたとされています。
大学は、今回の侵害により少なくとも1,488人の個人情報が流出したことを確認しています。流出したデータには、氏名やその他の個人識別子が含まれているとのことです。大学側は、これまでのところ、盗まれた情報が悪用されたりオンラインで漏洩したりした証拠は見つかっていないと述べています。
なお、ペンシルベニア大学は2025年10月下旬にも、ハッカーが内部システムを侵害し、約120万人の学生、卒業生、寄付者のデータが盗まれた別のデータ侵害を公表していました。
Clopランサムウェア集団との関連性
侵害の詳細はまだ明らかにされていませんが、セキュリティニュースサイトBleepingComputerは、今回の事件がClopランサムウェア集団による大規模な恐喝キャンペーンの一環である可能性を指摘しています。Clopは2025年8月初旬から、Oracle EBSのゼロデイ脆弱性(CVE-2025-61882)を悪用し、多くの組織から機密ファイルを窃取しています。
現時点では、Clopのリークサイトにペンシルベニア大学が追加されたという情報はありません。これは、大学がまだClopと交渉中であるか、すでに身代金を支払った可能性を示唆しています。
拡大するOracle EBSゼロデイ攻撃の脅威
ClopのOracle EBSゼロデイ攻撃キャンペーンでは、ペンシルベニア大学以外にも、以下の著名な組織が標的となっています。
- ハーバード大学
- ワシントン・ポスト
- GlobalLogic
- Logitech
- アメリカン航空の子会社Envoy Air
これらの組織の多くは、盗まれたデータがClopのダークウェブ上のリークサイトで公開され、Torrent経由でダウンロード可能になっています。
Clopは過去にも、Accellion FTA、GoAnywhere MFT、Cleo、そしてMOVEit Transferの顧客を狙ったデータ窃盗キャンペーンを複数回実行しており、特にMOVEitの件では2,770以上の組織に影響を与えました。米国国務省は現在、Clopの攻撃を外国政府に結びつける情報に対して1,000万ドルの報奨金を提供しています。