Oracle EBSの乗っ取りか 「見えないマルウェア」の絶望

2025年10月、「Oracle E-Business Suite」を狙った攻撃が発覚した。犯人はゼロデイ脆弱性だけでなく巧妙な方法を使って数カ月潜伏した後に、データを盗んで企業幹部へ直接金銭を要求した。

[David Jones，Cybersecurity Dive]

　会計やサプライチェーン・ロジスティクス、製造、人事管理、プロジェクト管理、CRMなどを提供するビジネススイートアプリが攻撃された結果、複数の企業幹部が金銭の支払い要求を受けたと報道された。

　Google Threat Intelligence Group（GTIG）とKroll（金融アドバイザリー企業）のセキュリティ研究者によると、悪名高いランサムウェア集団である「Clop」との関係を主張する攻撃者が、恐喝キャンペーンで企業幹部を標的にしているという。

Oracle EBSの乗っ取りか　「見えないマルウェア」の絶望

　GTIGのオースティン・ラーセン氏（主任脅威アナリスト）がLinkedInに投稿した内容によると（注1）、攻撃者は「Oracle E-Business Suite」のアプリケーションから盗み出したデータを保有していると主張しており、複数の企業幹部に対して金銭の支払いを要求しているようだ。

　データを侵害したという主張の裏付けは取れていない。だが、研究者はClopと過去に関係していた金銭を目的とする脅威グループ「FIN11」と今回の攻撃の間に関連性を見いだした。

　GTIGのインシデント対応組織であるMandiant Consultingのチャールズ・カルマカル氏（最高技術責任者）は、『Cybersecurity Dive』に電子メールで次のように回答した。

　「現在、侵害された数百のアカウントから発信されている大量の電子メールキャンペーンを観測している。初期的な分析では、これらのアカウントのうち少なくとも1つをFIN11の活動と関連付けることができる」

　攻撃者からの恐喝文には、標的となった企業幹部が要求に返信できるように連絡用の電子メールアドレス2件が記載されていた。研究者はこの電子メールアドレスがClopのデータリークサイト上で公開されているものと一致していることを確認した。脅迫の要求は2025年9月29日（現地時間、以下同）から始まったと報告されている。

　Clopはファイル転送ソフトウェア「MOVEit」の脆弱（ぜいじゃく）性を悪用した2023年の大規模攻撃でよく知られている（注2）。最近では、ファイル転送ソフトウェア「Cleo」の脆弱性を悪用した2024年末の攻撃にも関与していた（注3）。

　GTIGにおいて、サイバー犯罪および情報作戦インテリジェンスに関する分析の責任者を務めるジーンビーブ・スターク氏がCybersecurity Diveに語ったところによると、Clopは2025年7月にサイトを更新した。大規模な更新は同年2月と同年3月にあり、その際はCleoに関連する攻撃の被害者とされる企業名が掲載された。

　過去には、レンタカー事業者のHertzや朝食用シリアルメーカーのWK Kelloggを含む複数の大手企業が（注4、5）、Cleoの脆弱性に関連するデータ侵害を確認している。

　Oracleはコメントの要請に応じていない。

攻撃手法が判明した

　GTIGやMandiantの研究者によれば、ゼロデイ脆弱性（CVE-2025-61882）の悪用だけでなく、検知を回避するための高度な多段階のファイルレスマルウェアが使用されたことが分かった。これは攻撃者が計画に相当な時間とリソースを投入したことを示唆しているという。

　詳細な手口は次の通りだ。

（1）ファイルレスマルウェアの利用

　攻撃者は従来のファイルベースのセキュリティソフトによる検知を擦り抜けるため、ディスク上にファイルを保存せず、メモリ上だけで動作する次のようなJavaベースのファイルレスマルウェアを使った。

・GOLDVEIN（GOLDVEIN.java）　攻撃者のインフラと通信し、追加のコードを取得するダウンローダー
・SAGEGIFT／SAGELEAF／SAGEWAVE　侵入後の偵察や制御を行うための多段階ペイロード

（2）脆弱性チェーンと隠蔽工作

　攻撃者は1つのゼロデイ脆弱性を利用するのではなく、複数の脆弱性を組み合わせた脆弱性チェーンと高度な隠蔽（いんぺい）工作を組み合わせた。

1.侵入　ゼロデイ脆弱性（CVE-2025-61882など）を悪用し、認証なしでシステムに侵入
2.展開　ファイルレスマルウェアをメモリ上に展開
3.潜伏　ファイルとして痕跡を残さないため、多くの組織で侵入に気付けないまま、2025年7〜8月から数カ月間潜伏
4.恐喝　データを窃取した後、2025年10月に入ってから経営幹部へ直接脅迫メールを送付

攻撃の教訓は何か

　ファイルレスの多段階マルウェアは攻撃の成功率を高めるため、今後も頻繁に悪用されるだろう。社内のサイバーセキュリティ防御では、従来のウイルス対策ソフトだけでなく、Javaプロセスの異常なメモリ使用などメモリ上の不審な挙動を監視できるEDR製品などの導入や設定の変更が必要だろう（キーマンズネット編集部）

出典：Hackers claiming ties to Clop launch wide extortion campaign targeting corporate executives（Cybersecurity Dive）
注1：Austin Larsen（Linkedin）
注2：MOVEit attack spree makes Clop this summer’s most-prolific ransomware group（Cybersecurity Dive）
注3：Cleo releases CVE for actively exploited flaw in file-transfer software（Cybersecurity Dive）
注4：Hertz says personal data breached in connection with Cleo file-transfer flaws（Cybersecurity Dive）
注5：WK Kellogg confirms employee data breach tied to Cleo file-transfer flaw（Cybersecurity Dive）