2024年3月に発生しましたOracleクラウドアカウント情報漏洩により、日本の企業も被害が発生しております。弊社ではダークウェブモニタリングツール「StealthMole」を利用し、今回の犯罪を起こしたハッカー(Rose87168)を発見しており、弊社のプロファイル結果について米Oracleセキュリティチームと連絡をとっています。そして、今後の対策及び注意喚起が必要と判断したことから、今回の事件について詳しく紹介しております。
●調査方法などについての詳細についてはこちら
https://stealthmole.jp/blog/view/id/144
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000318429&id=bodyimage1】
1. 事件概要
2024年3月中旬、サイバー攻撃者「Rose87168」がダークウェブとテレグラムを通じてOracleクラウドアカウント情報漏洩事件を主張し、関連データを販売し始めました。
公開された情報には数千件のユーザーアカウント情報が含まれており、攻撃者はこのデータがOracleインフラから流出したものだと主張しました。
2. 攻撃者情報
● ニックネーム:Rose87168
● 活動チャンネル:テレグラム、BreachForums、HighLeaks 他多数
● 技術特性: CDSデータを活用してシステムにログインした後、SQLインジェクションおよび脆弱なクラウドAPIを悪用した攻撃をしたと見られる
● 認証迂回またはLPE(Local Privilege Escalation)技術活用状況、その他の活動:過去にも医療機関や政府機関などへのハッキングおよび関連データを掲示した履歴あり
3. 攻撃者の主張及び要求
● 攻撃者は当該データセットを20MUSD(約30億円)で販売すると主張(モネロ、ダークコイン取引要求)
● 1次サンプルは無料公開し、信頼性について立証を試す
● Oracleまたは被害企業が応じなければ、全体データセットを公開すると脅迫
4. Oracleの反応及び異常兆候
● Oracleは侵害事実を公式に否定
● ただし、一部のユーザーアカウントで事前通知のない異常なパスワードの初期化が発生
● 一部のセキュリティ研究者は、サンプルの有効性を確認する
→ OracleセキュリティチームとStealthMoleが電話会議を行い、 確保したデータに対する信頼性を確認し、分析結果を共有する
5. 分析結果
● 攻撃者が提示したデータの多くが実際の企業で使用されているOracleクラウドアカウントと一致したことを確認する
● ユーザーパターン、Eメール構造、電話番号フォーマットなどから偽データの可能性は低いと判断
● ただし、Oracle側の対応不備により正確な浸透経路は未確認の状態
6. 対策
Oracle Cloudユーザー企業及び機関は、直ちに以下の対応を実施することを推奨します。
(1)すべてのユーザーアカウントのパスワードを直ちに再設定すること
(2)SSOおよびAPI関連のアクセスログを過去90日以上にわたり精査すること
(3)全アカウントに対して2FAの適用状況を確認し、未適用であれば強制的に適用すること
(4)公開されたサンプルデータと自社ドメインとの一致を確認すること
(5)StealthMoleや類似のインテリジェンスプラットフォームで関連インジケーター(ウォレットアドレス、メールアドレス、ファイル名など)を継続的に監視すること
ダークウェブへの情報漏洩及びその内容について気になる企業・団体様はお問い合わせ頂ければ無料で調査いたします。ぜひ、ご検討ください。
<StealthMoleとは>
StealthMoleは、ダークウェブとディープウェブの脅威インテリジェンスツールです。ダークウェブとディープウェブを常に監視することで、企業から流出したIDやパスワード情報、ランサムウェアによる攻撃情報、悪質なハッカーによる攻撃情報など、企業活動の脅威となる情報を収集し、AIや情報セキュリティの専門家が分析、加工した精度の高い脅威インテリジェンスを提供します。
◆ 紹介サイト:https://stealthmole.jp
<会社概要>
・社名:株式会社JIRAN JAPAN
・代表取締役社長:張 世鴻
・本社:東京都港区海岸1-7-1ポートシティ竹芝 10階
・担当者:広報担当 info@jiransoft.jp
・URL:https://jiran.jp
・設立:2011年7月
・事業内容:ソフトウェア開発運営及び販売
配信元企業:株式会社JIRAN JAPAN
プレスリリース詳細へ
ドリームニューストップへ
