Oracle EBSがCl0pランサムウェア集団に狙われる！CVE-2025-61882の脆弱性悪用で最大74億円の身代金要求

2025年10月3日、Oracleから衝撃的な発表がありました。同社のE-Business Suite（EBS）を狙ったサイバー攻撃により、企業幹部らが最大5,000万ドル（約74億円）という途方もない身代金を要求される事件が発生しています。

現役CSIRTとして数々のランサムウェア事件を調査してきた私が、この事件の深刻さと企業が今すぐ取るべき対策について詳しく解説していきます。

事件の全容：Cl0pランサムウェア集団による大規模恐喝攻撃

今回の攻撃では、悪名高いランサムウェア集団「Cl0p」がOracle EBSの既知脆弱性CVE-2025-61882を悪用し、複数の企業システムに不正侵入しました。攻撃者は単なるデータ暗号化ではなく、機密データを窃取した上で企業幹部に直接脅迫メールを送付するという手口を使っています。

特に注目すべきは、この攻撃が「認証不要」かつ「低難易度」で実行可能な点です。CVSS 3.0スコア9.8（Critical）という最高レベルの危険度を持つこの脆弱性は、HTTP経由で遠隔から悪用でき、攻撃者にシステムの完全な制御権を与えてしまいます。

私がこれまで調査した類似事件では、Oracle EBSが狙われる理由が明確に見えています：

この脆弱性は、Oracle E-Business SuiteのOracle Concurrent Processing（コンポーネント：BI Publisher Integration）に存在します。影響を受けるバージョンは12.2.3から12.2.14までと広範囲にわたります。

フォレンジック調査の経験から、この脆弱性が悪用されると以下のような被害が発生します：

実際の調査事例では、攻撃者がConcurrent Processingの制御権を奪取後、バックグラウンドで長期間にわたって機密データを収集し、最終的に数百GBから数TBのデータを外部サーバーに送信するケースが確認されています。

Cl0pは2019年から活動を続ける老舗のランサムウェア集団です。特に2023年のMOVEitキャンペーンでは、世界600以上の組織、数千万人の個人データに影響を与えた実績があります。

私が分析したCl0pの攻撃には以下の特徴があります：

CSIRTの現場経験から、以下の対策を最優先で実行することを強く推奨します。

2025年7月CPUで提供されたパッチを即座に適用してください。過去の調査事例では、パッチ適用の遅れが決定的な被害拡大要因となるケースが多数確認されています。

EBS関連システムのインターネット露出を徹底的に見直してください。DMZや公開エンドポイント、VPN 設定を再点検し、不要な公開は直ちに閉塞することが重要です。

全管理系アカウントのパスワード即時更新と多要素認証の徹底は必須です。特に統合ID基盤との連携設定についても再確認が必要です。

Oracle EBSを直接使用していない個人や中小企業でも、この事件から学ぶべき教訓は数多くあります。

ランサムウェア攻撃の多くは、個人のPCやモバイルデバイスを起点として企業ネットワークに侵入します。アンチウイルスソフトによる包括的な保護は、個人から企業まで必須の対策です。

Cl0pのような攻撃集団は、長期間にわたって密かにデータを窃取します。VPN を使用することで、通信の暗号化と異常な通信パターンの検出が可能になります。

Oracle EBSを使用していなくても、Webサイトやアプリケーションの脆弱性は常に攻撃者に狙われています。Webサイト脆弱性診断サービスによる定期的な脆弱性評価は、今や必須の投資といえるでしょう。

私が調査した事例では、初期の小さな脆弱性が放置され、最終的に数億円規模の被害に発展したケースが数多くあります。予防コストは事後対応コストの1/100以下です。

Cl0pのようなランサムウェア集団の攻撃は、今後さらに巧妙化・大規模化することが予想されます。企業は事後対応ではなく、予防的なセキュリティ投資にシフトする必要があります。

特に重要なのは、技術的対策だけでなく、組織全体のセキュリティ意識向上と継続的な訓練です。最強のセキュリティシステムも、人的要因による脆弱性には対処できません。