最近のハッキングに対する物議を醸した対応でオラクルが非難を浴びる

オラクルは、古いサーバーからユーザー情報が漏洩した最近のハッキング事件への対応を受けて、サイバーセキュリティコミュニティからの激しい批判に直面している。同社は現在、影響を受けた顧客への書面による通知を開始しているが、批判派は、同社の対応の遅れと混乱が事態を悪化させているだけだと指摘している。

Table of Contents

否認からダメージコントロールへ

この論争は2025年3月20日に始まりました。著名なサイバー犯罪フォーラムにハッカーが登場し、Oracle Cloudサーバーへの侵入を主張しました。攻撃者は、14万以上のOracleテナントに関連付けられたとされる数百万件のレコードを販売していました。これらのレコードには、暗号化またはハッシュ化されたログイン認証情報も含まれていました。

オラクルは迅速に対応し、Oracle Cloudシステムへの侵入を断固として否定しました。しかし、ハッカーが盗んだデータのサンプル（後にサイバーセキュリティ研究者によって本物である可能性が高いと判断されました）を漏洩し始めると、オラクルの顧客から、自分たちのデータが侵害の対象であったことを認める声が上がり始めました。これはオラクルの当初の声明と矛盾し、同社の情報伝達の透明性に深刻な疑問を投げかけました。

これらの暴露を受けて、オラクルは公的な否定から非公開の情報開示へと方針を転換しました。報道によると、顧客には口頭で連絡を取り、一部のシステムへのアクセスはあったものの、今回の侵害はOracle Cloud Infrastructure（OCI）には関係していないことを認めたとのことです。オラクルが正式な書面による通知を開始したのは、侵害が公表されてから2週間以上経った4月7日になってからでした。

漏洩したデータはレガシーサーバーに関連

オラクルは書面による通知の中で、「OCIの顧客環境への侵入は行われていない」と主張し、顧客データやサービスへの侵害はなかったと主張しました。しかし、実際には、攻撃者がOCI傘下ではなく、現在は使用されていない2台のレガシーサーバーからユーザー名にアクセスしたことを明らかにしました。

オラクルによると、これらのユーザー名に関連付けられたパスワードは暗号化またはハッシュ化されており、使用不可能となっている。ハッカーは暗号化された認証情報を解読できなかったことを確認したと報じられている。

こうした保証にもかかわらず、サイバーセキュリティの専門家は依然として懐疑的だ。セキュリティアナリストのマックス・ソロンスキー氏は、オラクルが事態を軽視していることを批判し、ユーザー名自体が顧客データとみなされ、依然としてリスクをもたらす可能性があると指摘した。また、暗号化されたパスワードはより安全ではあるものの、十分な努力をすれば時間の経過とともに解読される可能性があると指摘した。

セキュリティ研究者のケビン・ボーモント氏も批判に加わり、オラクルの公式通知を「極めて機密性の高いデータを管理する企業としては非常に不十分な対応」と評した。ボーモント氏は、侵害されたシステムはオラクルのレガシーインフラ、いわゆる「Oracle Classic」または「Gen1」サーバーの一部であり、これにより同社はOCIの侵害を技術的に否定しつつも、侵害の被害に遭っていた可能性があると推測している。