Clop名乗る攻撃者、Oracle製ツールから盗んだとされるデータで企業幹部の恐喝試みる

佐々山 Tacos

2025.10.03

Clop名乗る攻撃者、Oracle製ツールから盗んだとされるデータで企業幹部の恐喝試みる

The Record – October 3rd, 2025

Clopランサムウェアグループとの繋がりを持つ可能性のあるハッカーらが、Oracle製人気ツール経由で盗まれたとされる機微な情報のリークをめぐり、企業の幹部らを恐喝しようと試みているという。Googleの脅威インテリジェンスグループ（GTIG）とMandiantが警告を発した。

Mandiant/GTIGはThe Record紙に送付したEメールのなかで、Clopと関連している可能性のある脅威アクターが開始したキャンペーンを追跡中であると報告。このキャンペーンは、ハッカーがOracle E-Business Suiteを通じてデータを盗み、影響を受ける企業の幹部・経営層に対して当該データを公開しない代わりに身代金を支払うよう恐喝する内容のEメールを送るというものだという。GTIGのシニアサイバーセキュリティ調査員であるGenevieve Stark氏は、9月29日にこのキャンペーンが始まったと考えているものの、調査はまだ初期段階であり、攻撃社の主張を実証できているわけではないと語っている。

経営層宛の恐喝メールを受信した組織は多数あるとされるが、Mandiantは正確には何社が影響を受けるのかや、どのような情報が盗まれた恐れがあるのかを明かしていない。Mandiantによれば、恐喝メールは多数の侵害されたアカウントから送られており、これらのアカウントのうち少なくとも1件は過去にClop（FIN11）との繋がりが指摘されるアカウントだったという。

またGTIGのサイバーセキュリティ専門家であるAustin Larsen氏は、恐喝メモに掲載された連絡先アドレス（support@pubstorm[.]comおよびsupport@pubstorm[.]net）が、Clopの公式データリークサイトで公に掲載されているアドレスと同じものであることを伝えている。ただ、攻撃者が単にClopの名を利用しているだけに過ぎない可能性も否定できないとされる。

Bloomberg紙が報じたところによれば、攻撃者はインターネットからアクセス可能なOracle E-Business Suite Webポータルの有効な認証情報を入手するため、侵害されたユーザーEメールを使い、デフォルトのパスワードリセット機能を悪用したとされる。またあるケースでは、被害組織が5,000万ドルの身代金を要求されたと報じられている。

Oracle自身は10月3日の声明において、「一部のOracle E-Business Suite（EBS）顧客が恐喝Eメールを受信していることを認識しています」とした上で、2025年7月の定例パッチで修正された脆弱性が使われた可能性が判明していると述べた。同社は顧客に対し、最新のクリティカルパッチアップデートの適用を強く推奨する旨を改めて強調している。