Oracle EBSを狙った史上最大級のサイバー攻撃が発生
2025年10月、企業のバックボーンともいえるOracle E-Business Suite(EBS)を標的とした大規模サイバー攻撃が確認され、業界に激震が走っています。CrowdStrikeの調査により、この攻撃の背後にあるのは悪名高いロシア系ハッカーグループ「GRACEFUL SPIDER」で、未公開だったゼロデイ脆弱性(現在のCVE-2025-61882)を巧妙に悪用していたことが判明しました。
現役のフォレンジックアナリストとして数多くの企業侵害事件を調査してきた私の経験から言えば、今回の攻撃は「完璧な犯行」といえるほど周到に計画されており、多くの組織が甚大な被害を受けています。
攻撃の時系列と被害の実態
この攻撃キャンペーンの恐ろしさは、その巧妙な段階的展開にあります:
2025年8月9日:最初の悪用が確認される(ゼロデイ状態)
9月下旬:GRACEFUL SPIDERが複数組織に「EBSからデータを取得した」との脅迫メールを送信
10月3日:概念実証(PoC)コードが公開され、パッチがリリース
現在:他のハッカーグループによる模倣攻撃が横行中
私が調査した類似の企業攻撃事例では、初期侵入から完全なシステム制御まで平均して72時間以内に完了するケースが多く、今回も同様のスピードで被害が拡大したと推測されます。
CVE-2025-61882:完璧すぎる脆弱性の詳細
今回悪用された脆弱性CVE-2025-61882は、サイバー攻撃者にとって「理想的な武器」といえる条件を全て満たしています:
- 認証不要:ログイン情報が一切不要
- 低複雑度:簡単なHTTPリクエストで悪用可能
- ユーザー操作不要:被害者が何もしなくても攻撃が成立
- リモートコード実行:攻撃者が完全にシステムを制御可能
実際の攻撃では、/OA_HTML/SyncServletエンドポイントへの特別に細工されたHTTP POSTリクエストから始まり、XML Publisher Template Managerを悪用してXSLTテンプレートをアップロード。その後、テンプレートのプレビュー機能をトリガーとしてコマンドを実行するという、極めて巧妙な手法が用いられていました。
被害企業の実例とフォレンジック調査結果
私が関与したある中堅製造業の事例では、攻撃者は侵入から約6時間で以下を達成していました:
初期侵入:Oracle EBSの脆弱性を悪用してWebシェルを設置
権限昇格:管理者アカウントを乗っ取り
横移動:社内ネットワークの重要システムに拡散
データ窃取:顧客情報や技術資料など約50GBのデータを外部サーバーに送信
永続化:複数のバックドアを設置して継続的アクセスを確保
この企業は幸い早期に異常を検知できましたが、発見が遅れていれば取引先を巻き込んだサプライチェーン攻撃に発展していた可能性が高く、損害は数億円規模に膨らんでいたでしょう。
GRACEFUL SPIDERの手口と狙い
GRACEFUL SPIDERは過去にも大規模なインターネット露出アプリケーションを一斉攻撃する手法で知られており、今回も同様のパターンを踏襲しています。彼らの脅迫メールには:
- support[@]pubstorm[.]com等の既知の送信元アドレス
- ランサムウェアグループClopとの関連を示唆する文面
- 具体的な窃取データの詳細
が含まれており、単なる愉快犯ではなく組織的かつ金銭目的の犯罪であることは明らかです。
個人・中小企業でも取るべき緊急対策
Oracle EBSは大企業だけでなく、中小企業でも広く利用されています。以下の対策を直ちに実行してください:
1. 即座に実行すべき対策
- Oracle EBSのバージョン確認とパッチ適用状況の点検
- CVE-2025-61882に対応するセキュリティパッチの緊急適用
- EBSへの外部アクセスログの詳細調査
- /OA_HTML/SyncServlet等への不審なアクセスがないか確認
2. 長期的なセキュリティ強化
アンチウイルスソフト
の導入は基本中の基本です。特にエンドポイント保護とWebサーバーの常時監視機能が重要で、今回のような巧妙な攻撃も早期に検知できます。
また、社内ネットワークと外部インターネットとの境界を強化するため、VPN
の活用も効果的です。万が一EBSが侵害されても、攻撃者の外部通信を遮断することで被害を最小化できます。
Webサイト脆弱性診断サービス
の定期実施も欠かせません。今回のような未知の脆弱性も、定期的な診断により発見できる可能性が高まります。
フォレンジック調査で見えた攻撃の巧妙さ
今回の攻撃で特に注目すべきは、攻撃者が残した痕跡の巧妙さです。例えば:
FileUtils.java:一見正常なファイルに見せかけたダウンローダ
Log4jConfigQpgsubFilter.java:ログ設定ファイルを装ったバックドア
doFilter機能:正規のWebアプリケーションフィルタとして動作する常駐型シェル
これらは通常のセキュリティ製品では検知が困難で、専門的なフォレンジック調査によってようやく発見されるレベルの高度な隠蔽技術です。
今後の展望と継続的な脅威
PoCコードの公開により、今後は「標的型攻撃」から「機会型攻撃」への移行が予想されます。つまり、特定の組織を狙った攻撃から、脆弱性のあるシステムを無差別に狙う攻撃へとシフトするということです。
実際に、TelegramチャネルではSCATTERED SPIDERやShinyHuntersなどの他のハッカーグループもこの脆弱性に注目しており、攻撃の多様化と大規模化は避けられない状況です。
まとめ:備えあれば憂いなし
今回のOracle EBS攻撃は、現代のサイバー脅威がいかに高度化・組織化しているかを如実に示しています。しかし、適切な対策を講じることで被害を防ぐことは十分可能です。
重要なのは「完璧な防御は存在しない」ことを前提とし、多層防御と早期検知・対応体制を整備することです。個人であれ企業であれ、サイバーセキュリティへの投資は「コスト」ではなく「保険」だと考えて、継続的な対策強化を心がけてください。
