GlobalLogicは、日立グループ傘下のデジタルエンジニアリングサービスプロバイダーであり、Oracle E-Business Suite(EBS)のデータ侵害により、1万人以上の現従業員および元従業員に対し、データが盗まれたことを通知しています。カリフォルニア州サンタクララに拠点を置くこのソフトウェアおよび製品開発サービス企業は、2000年に設立され、以来、59の製品エンジニアリングセンターと世界中の複数のオフィスに拡大しています。
メイン州司法長官の事務所に提出された侵害通知書簡の中で、同社は攻撃者がOracle EBSのゼロデイ脆弱性を悪用し、10,471人の従業員に属する個人情報を盗んだと述べています。GlobalLogicの調査により、Oracleへのアクセスとデータ流出が2025年10月9日に確認されました。その後、通知の作成と送信を開始しました。調査により、脅威アクターの活動の最も早い日付は2025年7月10日であり、最新の活動は2025年8月20日に発生したことが特定されました。
このインシデントは、Oracleプラットフォーム以外のGlobalLogicのシステムを標的としたり、影響を与えたりしたものではなく、業界の報告によると、当社は影響を受けたとされる多くのOracle顧客の1つです。このインシデントに関与した個人情報は、当社のOracleプラットフォームからのものであり、現在および過去の人事に関するHR情報が含まれています。
盗まれたデータには、GlobalLogicの人事部門が収集した個人情報が含まれており、影響を受けた個人によっては、氏名、住所、電話番号、緊急連絡先(氏名と電話番号)が含まれます。攻撃者はまた、影響を受けた従業員の電子メールアドレス、生年月日、国籍、出生国、パスポート情報、国民識別子または納税者番号(例:社会保障番号)、給与情報、および銀行口座の詳細も流出させました。
ClopによるOracle EBSデータ窃盗攻撃
GlobalLogicは、この侵害を特定の脅威グループに帰属させていませんが、インシデントの詳細は、Clopランサムウェアギャングが8月上旬から多くの企業のOracle EBSシステムから機密データを盗むためにゼロデイ脆弱性(CVE-2025-61882)を悪用した恐喝キャンペーンと一致しています。Clopは、これらのデータ窃盗攻撃の影響を受けた企業の総数をまだ明らかにしていませんが、Google脅威インテリジェンスグループの主任アナリストであるJohn HultquistはBleepingComputerに対し、数十の組織が影響を受けたと考えていると語っています。
この恐喝ギャングは現在、ハーバード大学、Envoy Air、ワシントン・ポストも標的にしており、これらの組織はすべてサイバー犯罪グループのTorリークサイトに追加されています。彼らのデータもオンラインでリークされており、Torrent経由でダウンロードできるようになっています。ClopはまだGlobalLogicをリークサイトに追加していませんが、これは同社が脅威グループと交渉中であるか、すでに身代金を支払ったことを示唆しています。
GlobalLogicの広報担当者は、Clopの要求に関する質問には回答しませんでしたが、サイバー犯罪ギャングが「インシデントの責任を主張している」ことを確認しました。Clopは以前、Accellion FTA、GoAnywhere MFT、Cleo、およびMOVEit Transferを標的とした他のデータ窃盗キャンペーンに関連付けられており、後者は世界中で2,770以上の組織に影響を与えています。米国務省は現在、ランサムウェアギャングの攻撃を外国政府に結びつける情報に対して1,000万ドルの懸賞金を提供しています。
GlobalLogicの声明によると、同社は影響を受けた従業員への通知を開始し、個人情報の保護のために必要な措置を講じているとのことです。また、法執行機関と協力し、事件の全容解明に努めています。GlobalLogicは、今回のインシデントを深刻に受け止め、再発防止のためにセキュリティ対策を強化するとしています。
侵害されたデータの詳細と影響
GlobalLogicが明らかにしたところによると、侵害されたデータには、従業員の氏名、住所、電話番号、緊急連絡先、電子メールアドレス、生年月日、国籍、出生国、パスポート情報、国民識別子または納税者番号、給与情報、銀行口座の詳細が含まれています。これらの情報は、従業員の採用、給与支払い、福利厚生の管理など、人事管理に必要なものであり、機密性が高い情報です。
これらの情報が攻撃者の手に渡った場合、従業員は個人情報の悪用、なりすまし、金融詐欺などのリスクにさらされる可能性があります。また、GlobalLogicの従業員だけでなく、その家族や関係者も被害を受ける可能性があります。GlobalLogicは、影響を受けた従業員に対し、個人情報の保護のために、クレジットカードや銀行口座の明細を注意深く確認し、不審なメールや電話には注意するよう呼びかけています。
さらに、GlobalLogicの顧客情報や知的財産が侵害された可能性も否定できません。GlobalLogicは、多くの企業にデジタルエンジニアリングサービスを提供しており、顧客の機密情報や重要な技術情報にアクセスする可能性があります。もしこれらの情報が攻撃者に盗まれた場合、GlobalLogicの顧客企業も被害を受ける可能性があります。
GlobalLogicは、今回のインシデントが事業に与える影響を評価しており、必要に応じて追加の対策を講じるとしています。同社は、顧客企業との連携を強化し、情報共有を進めることで、被害の拡大を防ぐとしています。また、セキュリティ専門家と協力し、今後の攻撃に備えるための対策を検討しています。
ゼロデイ脆弱性の悪用とClopの関与
今回のインシデントで攻撃者が悪用したOracle EBSのゼロデイ脆弱性(CVE-2025-61882)は、攻撃が開始されるまでOracleによって認識されていなかった脆弱性です。ゼロデイ脆弱性は、攻撃者にとって非常に価値が高く、発見されるとすぐに悪用される可能性があります。Clopランサムウェアグループは、過去にもゼロデイ脆弱性を悪用した攻撃を繰り返しており、その高度な技術力と攻撃手法が知られています。
Clopは、身代金要求に応じない企業に対して、盗んだデータを公開する恐喝戦術を用いることで知られています。今回のGlobalLogicのインシデントでも、Clopがデータを公開した場合、企業の評判や信頼が大きく損なわれる可能性があります。また、顧客情報や知的財産が公開された場合、企業は訴訟や規制当局からの制裁を受けるリスクもあります。
Clopは、Accellion FTA、GoAnywhere MFT、Cleo、MOVEit Transferなど、多くの企業を標的としたデータ窃盗攻撃に関与しています。これらの攻撃では、ゼロデイ脆弱性や既知の脆弱性が悪用され、大量のデータが盗まれました。Clopは、盗んだデータをダークウェブで販売したり、身代金と引き換えにデータを返還したりすることで、利益を得ています。
米国務省は、Clopランサムウェアグループの攻撃を外国政府に結びつける情報に対して1,000万ドルの懸賞金を提供しています。これは、Clopの活動が国家安全保障上の脅威と見なされていることを示しています。GlobalLogicは、法執行機関と協力し、Clopの特定と逮捕に貢献するとしています。
Oracle EBSを狙う攻撃の増加と対策の重要性
近年、Oracle EBSを標的としたサイバー攻撃が増加傾向にあります。Oracle EBSは、多くの企業で基幹業務システムとして利用されており、機密性の高い情報が保存されています。そのため、攻撃者にとって魅力的な標的となっています。Oracle EBSのセキュリティ対策を強化することは、企業にとって非常に重要な課題となっています。
Oracleは、定期的にセキュリティパッチをリリースしており、企業はこれらのパッチを迅速に適用する必要があります。また、Oracle EBSの構成を適切に設定し、不要なサービスを停止することも重要です。さらに、多要素認証(MFA)を導入することで、不正アクセスを防止することができます。従業員に対するセキュリティ意識向上トレーニングも、効果的な対策の一つです。
GlobalLogicのインシデントは、Oracle EBSのセキュリティ対策の重要性を改めて示しています。企業は、Oracle EBSのセキュリティ対策を強化し、サイバー攻撃から自社のシステムとデータを保護する必要があります。また、インシデントが発生した場合に備えて、適切なインシデント対応計画を策定しておくことも重要です。
GlobalLogicは、今回のインシデントを教訓に、セキュリティ対策を強化し、再発防止に努めるとしています。同社は、セキュリティ専門家と協力し、最新の脅威に対応するための対策を継続的に検討していくとしています。また、従業員に対するセキュリティ意識向上トレーニングを強化し、人的な脆弱性を減らすとしています。
影響を受けた従業員へのサポートと今後の展望
GlobalLogicは、影響を受けた従業員に対し、個人情報の保護に関する情報提供や、クレジットモニタリングサービスの提供などのサポートを行っています。同社は、従業員の不安を軽減し、安心して業務に取り組めるよう、最大限の支援を行うとしています。また、従業員からの問い合わせに対応するための専用窓口を設置し、迅速かつ丁寧な対応を心がけています。
GlobalLogicは、今回のインシデントを機に、セキュリティ体制を抜本的に見直し、より強固なセキュリティシステムを構築するとしています。同社は、最新のセキュリティ技術を導入し、脅威インテリジェンスを活用することで、サイバー攻撃に対する防御力を高めるとしています。また、サプライチェーン全体のセキュリティ対策を強化し、サプライヤーとの連携を密にすることで、リスクを低減するとしています。
GlobalLogicは、今回のインシデントを乗り越え、より信頼される企業となるために、全社一丸となって取り組むとしています。同社は、顧客企業や従業員からの信頼を回復し、持続的な成長を実現するために、セキュリティ対策を最優先事項として取り組んでいくとしています。今回のインシデントは、GlobalLogicにとって大きな試練となりましたが、同社はこれを教訓に、より強固な企業へと成長していくことが期待されます。
参考情報
本記事は以下の情報源を参考に作成されました:
- -GlobalLogic warns 10,000 employees of data theft after Oracle breach - https://www.bleepingcomputer.com/news/security/globallogic-warns-10-000-employees-of-data-theft-after-oracle-breach/