Oracleクラウドの沈黙 ─ 600万件のSSO認証情報が闇市場に出回った「否定された侵害」
ニュース 中級

Oracleクラウドの沈黙 ─ 600万件のSSO認証情報が闇市場に出回った「否定された侵害」

ニュース 中級

2026年3月、Oracle Cloudのシングルサインオン基盤から約600万件の認証情報が流出したとされる事件が発覚。Oracleは侵害を否定し続けたが、複数の企業が漏洩データの真正性を確認。クラウドセキュリティの盲点と今すぐできる対策を解説します。

12 分で読める
CyberLens編集部
#Oracle#クラウドセキュリティ#認証情報漏洩#SSO#CVE

事件の概要

2026年3月20日ごろ、ある脅威アクターがハッカーフォーラムに驚くべき投稿を掲載した。Oracle Cloudのフェデレーテッドシングルサインオン(SSO)サーバーから窃取したと主張する、約600万件のデータレコードを販売するという内容だ。

含まれるとされたデータは、暗号化されたパスワードおよびパスワードハッシュ、JavaキーストアとSSLキーファイル、そしてSSOトークンだった。エンタープライズITの心臓部ともいえるアクセス制御の基盤が丸ごと漏洩したともいえる規模だ。

このデータを最初に分析したサイバーセキュリティ企業CloudSEKは、サンプルデータを精査した結果「データは本物である可能性が高い」という見解を3月21日に公表した。複数の侵害通知サービスも、漏洩データの中に実際の認証情報が含まれていることを確認している。

ところがOracleは事件を全面否定した。「当社のクラウドインフラストラクチャで侵害は発生していない」という声明を発表し、以降も一貫してこの立場を崩していない。

企業が証言した「データは本物だ」

騒動が拡大したのは、Oracleの否定にもかかわらず、複数の企業が独自にデータの真正性を確認したからだ。

脅威インテリジェンス企業Hudson Rockによると、漏洩データリストに掲載されたいくつかの組織の担当者が「サンプルデータに含まれた情報は、実際に本番環境のOracle Cloudに登録されたデータと一致する」と認めた。つまり過去のテスト環境のデータでも、でたらめに作られたダミーデータでもなく、現在稼働中のシステムから抽出されたものと見られる。

悪用されたとされる脆弱性

CloudSEKの分析によれば、今回の侵害に悪用された可能性があるのは CVE-2021-35587 だ。2022年に公開されたこの脆弱性は、Oracle Fusion MiddlewareのOracle Access Managerコンポーネントに存在し、認証不要でリモートからの任意コード実行を可能にする。

CVSSスコアは 9.8(Critical)。パッチは2022年1月のCritical Patch Updateで提供された。

「5年以上前にパッチが出た脆弱性が今さら?」と思うかもしれない。しかしエンタープライズシステム、特にオンプレミスとクラウドが入り組んだ大規模環境では、パッチ適用が数年単位で遅延するケースは珍しくない。古いシステムと新しいクラウドが接続される「ハイブリッド構成」こそが、今回の侵害の温床になった可能性がある。

Oracleの「静かな認否」

興味深いのは、Oracleが公式に侵害を認めたわけでも、完全に釈明したわけでもないという曖昧な状況だ。

アメリカの金融規制機関FINRAは「Oracle Cloudにおける潜在的なデータ侵害」と題したサイバーセキュリティアラートを会員に発出した。医療分野では、Oracle Healthが別の侵害インシデントによって80以上の病院に影響が及んだ可能性があるとも報告されている。

訴訟も起きている。Oracleが侵害を隠蔽しているとして集団訴訟が提起され、その数日後にOracleは一部の顧客に対して「旧式のレガシーサーバーが侵害された」と非公式に通知し始めたことが、BleepingComputerの報道で明らかになった。

「本番環境は安全」というOracleの主張と、現実に漏洩したデータが一致しているという証言が並存している。この状況そのものが、現代のクラウドセキュリティが抱える透明性の問題を浮き彫りにしている。

クラウドを盲信していないか?

この事件が示すのは、「クラウドだから安全」という過信の危険性だ。

クラウドプロバイダーは強固なセキュリティを提供するが、その範囲は「提供者が管理するレイヤー」に限られる。共有責任モデルと呼ばれるこの考え方では、利用者側もアクセス制御・認証情報の管理・パッチ適用(特にオンプレミス連携部分)について責任を持つ。

また今回のように大手ベンダーが侵害を否定し続ける場合、被害を受けた組織が独自に被害を把握する手段が限られる。外部の脅威インテリジェンスサービスや侵害通知サービスを活用することが、これまで以上に重要になっている。

今すぐできる3つの対策

1. SSOトークンと認証情報の即時ローテーション

Oracle Cloudを利用している場合、念のためSSOパスワードとAPIキーをローテーションすることを推奨する。「侵害されていないかもしれない」としても、ゼロコストでリスクを下げられるなら実施する価値がある。

2. 多要素認証(MFA)の全管理アカウントへの適用

パスワードが漏洩しても、MFAが有効なら攻撃者の侵入を大幅に難しくできる。クラウドコンソールの管理者アカウントだけでなく、SSOフェデレーションを経由するアカウントにも必ずMFAを設定しよう。

3. CVE-2021-35587のパッチ適用確認

Oracle Access Managerを使用している場合、2022年1月のCritical Patch Update(CPU)が適用済みかを確認する。オンプレミスとクラウドのハイブリッド構成では、レガシーコンポーネントが見落とされやすい。担当者が「たぶん当たっているはず」という認識だけで済ませている場合、改めて確認する価値がある。

まとめ

Oracle Cloudの件が示した最大の教訓は「大手ベンダーも侵害を否定することがある」という現実だ。自組織のデータを守るためには、ベンダーの声明だけに頼らず、独立したモニタリングと素早い証拠確認の体制を整えておくことが欠かせない。クラウドの利便性を最大限に活用しながら、そのリスクを自分の目で管理する時代に私たちは立っている。

ESC
↑↓ で選択 Enter で開く ⌘K で開閉 Powered by Pagefind