記事の要点:
- Cl0pと呼ばれるサイバー犯罪組織がOracleのE-Business Suiteに存在するゼロデイ脆弱性を悪用し、数十社の大手企業で重大なデータ漏洩が発生しました。ランサムウェアグループはBroadcom、Estée Lauder、Mazda、Canonなど、世界有数の大企業に多額の身代金を要求していると言われています。
- ゼロデイ脆弱性とは、ソフトウェアやハードウェア、ファームウェアにおいて開発者にまだ認識されていないセキュリティ上の隙間のことで、サイバー犯罪者や悪意ある第三者に悪用される可能性が高い脆弱性を指します。
- これまでに100社以上がCl0pによるOracle EBS攻撃の影響を受けています。11月20日から21日までの24時間の間に、このグループは29社からデータを不正取得し情報を持ち出したと伝えられています。対象企業は米国、日本、サウジアラビアなど、世界各地に本社を持ち、時価総額が数十兆円規模の大企業も含まれます。
11月20日(木)から翌日にかけて、Cl0pと呼ばれるサイバー犯罪組織はOracleのE-Business Suiteに存在するゼロデイ脆弱性を悪用し、数十社の大手企業で重大なデータ漏洩が発生しました。ランサムウェアグループはBroadcom、Estée Lauder、Mazda、Canonなど、世界最大級の企業から多額の身代金を要求しているとされています。Cl0pが送付しメディアが入手したメールでは、同グループは「政治的権力を求めたり、どんなビジネスにも興味はない」と強調しています。彼らの唯一の目的は、標的企業から「請求した金額を支払わせること」であるとされています。
Cl0pとは
Oracle E-Business Suiteの顧客を標的にした攻撃の犯行声明を出しているサイバー犯罪グループがCl0pです。ロシア語圏のこのグループは2019年以前から活動しており、それ以来大規模なランサムウェア攻撃を多数実施してきました。Cl0pは高度な恐喝手法と巧妙なマルウェアで悪名高く、これまでに5億ドル以上を不正に入手したとされています。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)によると、Cl0pは「頻繁にマルウェア手法を変化させ、世界の犯罪用マルウェア流通のトレンドを牽引している」とされています。「世界最大級のフィッシング・マルスパム分布者」とも言われており、Cl0pはこれまで8,000社以上(米国内だけで3,000組織以上)からデータ漏洩に成功しています。
ゼロデイ脆弱性とは何か、そしてCl0pはどのように悪用したか
ゼロデイ脆弱性とは、ソフトウェア・ハードウェア・ファームウェアに存在する、まだ開発者に認識されていないセキュリティ上の欠陥です。したがってサイバー犯罪者や悪意ある第三者によって悪用されやすい特徴があります。テネシー大学イノベーティブ・テクノロジーズ部門の説明によれば、
「ゼロデイ脆弱性は、あなたのお気に入りアプリやOSの中に隠された落とし穴のようなものです」。
「ゼロデイ」という言葉は、開発者・サイバーセキュリティ専門家・他関係者がそのセキュリティ欠陥を認識してから経過した日数(=ゼロ日)に由来します。つまり開発者がその存在自体を知らないため、脆弱性が実際に修正・パッチ適用されていないことを意味します。この盲点をハッカーが突くことで、重要なデータの窃取や情報流出、マルウェアの設置、その他目的のため様々な攻撃行為が可能となります。
今回のOracle E-Business Suiteへの攻撃では、Cl0pは2件の既知のゼロデイ脆弱性を悪用しています。両者はOracle EBSバージョン12.2.3〜12.2.14に影響しています。
- CVE-2025-61882:このCVE(共通脆弱性識別子)は、Oracle E-Business SoftwareのBI Publisher Integrationに存在する脆弱性です。イギリス国家サイバーセキュリティセンターによれば、このCVEでは「認証されていないハッカーが、対象コンポーネントに特殊なHTTPリクエストを送信することで完全なシステム乗っ取りが可能」になります。CVE-2025-61882により、Cl0pは標的システムへの直接アクセスを獲得しました。
- CVE-2025-21884:この脆弱性は、Oracle ConfiguratorのRuntimeユーザーインターフェース(UI)に関わるものです。CISAによると、このCVEは「認証されていない攻撃者がネットワーク経由(HTTP)でOracle Configuratorを乗っ取ることを可能にする」とされています。CVE-2025-21884が成功裏に実行されると、ハッカーが重要または機密データへ無許可でアクセスできるようになります。
このサイバー犯罪組織はどれくらい前からOracleを攻撃しているのか
Cl0pによるOracle E-Business Softwareへのランサムウェア攻撃は9月下旬にさかのぼります。
この2カ月間にグループの活動範囲が段階的に広がり、現在ではOracle EBS攻撃だけで100社以上がターゲットリスト入りしています。77社分のデータがトレントファイルやマグネットリンクで流出しています。
ランサムウェア攻撃で影響を受けた企業は
現在までに100社以上がCl0pによるOracle EBS攻撃の影響を受けていると言われています。11月20日から21日までの24時間の間に、同グループはさらに29社の侵害・データ流出を行ったと報道されています。これらの企業は、米国・日本・サウジアラビアなど世界各地に本社を置き、数十兆円規模の企業も含まれています。
11月20日に被害を受けたとされる企業一覧
- Oracle
- Michelin
- Broadcom
- The Estée Lauder Companies
- Humana
- Fruit of the Loom
- Abbott Laboratories
- Grupo Bimbo
- A10
- Envoy
- Canon
- Greater Cleveland RTA
- Frontrol
- MAS Holdings
- Trane Technologies
- Treet Corp
- University of Phoenix
- L&L Products
- Worley
- Mazda
- Fleet Management Limited
- Alshaya Group
- Bechtel Corporation
- WellBiz Brands, Inc.
- Dooney & Bourke
- Greenball
- Sumitomo Chemical
- Aljomaih Automotive Company (AAC)
サイバー攻撃の被害軽減へ何が行われているか
10月上旬以降、OracleはCl0pによるゼロデイ攻撃関連の脆弱性について2件の重要なセキュリティアラートを発行しています。最初のセキュリティアラートはCVE-2025-61882に対応。「この脆弱性は認証不要でリモートから悪用可能、つまりユーザー名やパスワードが不要でネットワーク経由でも侵害できる」とOracleは公式セキュリティアラートで説明しています。「Oracleはお客様が本セキュリティアラートで提供されたアップデートを速やかに適用することを強く推奨します」。今回のアップデートにはパッチ適用方法のドキュメントも含まれています。
Oracleは2件目のセキュリティアラートも発出し、CVE-2025-61884への対応を案内しました。このアラートでもパッチ適用手順が提供されており、ユーザーが早急にアップデートを実施して重大なセキュリティ侵害やその他悪影響を回避するよう強く呼びかけています。
企業が要求に応じない場合にCl0pが行うと脅していること
Google傘下のサイバーセキュリティ会社Mandiantが公開したCl0pのメール文面からは、Cl0pの最大の脅し材料がOracle EBSから取得した機微なデータであることがわかります。メッセージ内でサイバー犯罪組織は、「ランサムウェア支払いに応じなければ」顧客データを「ブラックマーケットでの販売」「グループのブログでの公開」「トレントトラッカーでの配布」などで流出させると警告しています。
またMandiantは、このグループの攻撃手法について重要な見解も発表しています。Cl0pが過去に行った攻撃では、「被害者データの公開までに数週間待つ」傾向があるとのことです。したがって、今回新たに標的となった企業にも、過去と同様なら実際に顧客データが流出するまでやや猶予期間がある可能性が示唆されています。
Z2Dataによるサプライヤ脆弱性の可視化
OEM(完成品メーカー)や他の企業にとって、サプライヤリスクはサプライチェーン上で常に変動し予測困難な課題です。今回のOracleゼロデイ脆弱性攻撃により、サプライヤの混乱が企業にもたらす重大な影響が明らかになりましたが、迅速な対策が常に可能とは限りません。この6週間だけでも、Broadcom、Abbott Laboratories、Estée LauderなどのFortune 500企業が自社のソフトウェアサプライヤであるOracleの脆弱性を背景とした重大なデータ漏洩に見舞われています。
サプライヤ脆弱性への脆弱性が当たり前である必要はありません。サプライチェーンリスクマネジメント(SCRM)プラットフォームを活用すれば、サプライヤがもたらすリスクから企業を強化できます。
しかし、サプライヤ脆弱性を当然と受け入れる必要はありません。サプライチェーンリスクマネジメント(SCRM)プラットフォームを導入することで、サプライヤ起因のリスクに備え、企業体制を強化することができます。 SCRMツールであるZ2Dataは、世界10万社以上のサプライヤについてリスク評価を集約した包括的なリスクハブを提供しています。各評価は12の独自指標を総合し、特定サプライヤがもたらす脅威を多面的に分析します。Z2Dataが分析するリスク要素には以下が含まれます:
Z2Dataのリスクハブを活用することで、組織はリスク発生前の段階で可視化とインテリジェンスを獲得し、重大なサプライチェーンクライシスを未然に防ぐことが可能です。Z2Dataおよびサプライヤリスク分析機能について詳しく知りたい⽅は、無料トライアルを弊社製品エキスパートとご予約ください。