2025年12月17日、自動車部品業界の巨人であるLKQ Corporationが、Oracle E-Business Suite(EBS)を標的としたサイバー犯罪キャンペーンの被害に遭ったことをついに確認しました。Fortune 500企業である同社は、自動車などの車両向けに再生部品、修理部品、アフターマーケット部品を提供するグローバル企業であり、その事業規模から今回の侵害は広範な影響を及ぼす可能性を秘めています。
LKQは、この攻撃キャンペーンの背後にいるサイバー犯罪グループCl0pのランサムウェアウェブサイトに、10月下旬に最初に名前が挙げられた被害企業の1つでした。SecurityWeekはCl0pのサイトに名前が挙がって以来、複数回にわたりLKQにコメントを求めていましたが、同社からの回答はありませんでした。しかし、今回の正式な確認により、この攻撃の深刻さが改めて浮き彫りになりました。
LKQがメイン州司法長官事務所(Maine AGO)に提出した通知書によると、この攻撃により9,000人以上の個人情報が侵害されたとされています。流出した情報には、個人事業主のサプライヤーの雇用主識別番号(EIN)や社会保障番号(SSN)といった機密性の高いデータが含まれていました。同社は10月3日に調査を開始し、12月1日に個人情報の侵害に関する分析を完了したと報告しています。
今回の侵害は、Oracle EBS環境に限定されたものであり、LKQの他のシステムへの影響は確認されていないとされています。しかし、サイバー犯罪者たちは、LKQのEBSインスタンスから盗んだとされる数テラバイトものファイルをダウンロード可能にしており、その影響の深さは計り知れません。LKQがサイバー攻撃の標的となったのは今回が初めてではなく、ちょうど1年前にもカナダの事業部門でサイバー攻撃による混乱が発生していました。
Cl0pグループの標的選定と広がる被害の連鎖
Cl0pランサムウェアグループは、Oracle E-Business Suiteを標的とした大規模なハッキングキャンペーンを展開しており、その被害はLKQ一社に留まりません。現在、Cl0pのウェブサイトには、このキャンペーンの被害者とされる100以上の組織がリストアップされており、その大半の組織から盗まれたとされるデータが公開されています。これらの組織の多くは、まだこの件に関して公式な声明を発表していませんが、Cl0pが根拠なく被害者を名指しすることは稀であり、その主張には一定の信憑性があると見られています。
この広範なキャンペーンの被害者として、ロジテック、キヤノン、コックス、マツダといった大手企業や、米国の複数の主要大学がすでに影響を認めています。さらに、英国の国民保健サービス(NHS)の一部であるBarts Health、日立傘下のソフトウェア企業GlobalLogic、産業界の巨人であるシュナイダーエレクトリックやエマーソンも、このOracle EBSハッキングの被害者として名前が挙がっています。これは、Cl0pグループが特定の業界や地域に限定せず、Oracle EBSを利用するあらゆる組織を無差別に狙っていることを示唆しています。
Cl0pグループは、過去にもAccellion、GoAnywhere MFT、MOVEit MFT、Cleo LexiComといったマネージドファイル転送(MFT)システムのゼロデイ脆弱性を悪用した大規模なデータ窃取および脅迫キャンペーンで知られています。今回のOracle EBSを標的とした攻撃は、彼らの成功した運用モデルの継続であり、広く利用されているエンタープライズアプリケーションのゼロデイ脆弱性を悪用し、数週間後に大規模な脅迫活動を開始するという手口は、彼らの特徴的な戦術となっています。
このような攻撃は、脅威アクターがラテラルムーブメントに時間とリソースを割く必要がなく、機密データを保存する公開アプリケーションやアプライアンスを直接標的とすることで、データ窃取の効率を大幅に高めることができるという戦略的利点があります。この戦術は、防御側に存在を気づかれることなく多数の組織からデータを窃取できるため、全体の被害を増大させる可能性が高いと評価されています。
ゼロデイ脆弱性の悪用:攻撃の起点と時系列
Google Threat Intelligence Group(GTIG)とMandiantの分析によると、今回のCl0pによるOracle EBSを標的とした大規模な脅迫キャンペーンは、数ヶ月にわたる侵入活動の末に実行されました。攻撃者は、2025年8月9日という早い時期に、パッチが利用可能になる数週間も前から、CVE-2025-61882として特定される可能性のあるゼロデイ脆弱性をOracle EBSの顧客に対して悪用していたとされています。さらに、2025年7月10日まで遡る不審な活動も確認されており、攻撃の準備期間が長かったことが示唆されています。
Oracleは、この脅威に対応するため、2025年10月2日に脅威アクターが2025年7月にパッチが適用された脆弱性を悪用した可能性があると報告し、顧客に最新のクリティカルパッチアップデートの適用を推奨しました。その後、10月4日にはこの脆弱性に対処するための緊急パッチの適用を指示し、さらに10月11日にはCVE-2025-61884に対処する別のパッチをリリースしています。これらのパッチは、攻撃者が悪用していた既知の脆弱性チェーンを緩和するために不可欠なものでした。
攻撃者は、Oracle EBS環境への侵入に際し、主に`/OA_HTML/configurator/UiServlet`および`/OA_HTML/SyncServlet`という2つのコンポーネントを標的としました。UiServletを標的とした活動は2025年7月に確認され、公開されたエクスプロイトチェーンでは、サーバーサイドリクエストフォージェリ(SSRF)、キャリッジリターン・ラインフィード(CRLF)インジェクション、認証バイパス、XSLテンプレートインジェクションを組み合わせてリモートコード実行(RCE)を達成する手法が用いられていました。
一方、2025年8月には、SyncServletコンポーネントの脆弱性が悪用され始めました。この脆弱性もまた、認証なしでのリモートコード実行を可能にするものでした。これらのゼロデイ脆弱性の悪用は、攻撃者がOracle EBSの内部構造と潜在的な弱点を深く理解していたことを示しており、その技術力の高さがうかがえます。パッチがリリースされる前の数週間にわたる悪用期間は、多くの組織にとって防御が困難な状況を生み出しました。
巧妙な多段階攻撃フレームワークの解剖
今回のOracle EBSに対する攻撃では、高度に洗練された多段階のJavaインプラントフレームワークが使用されました。Mandiantの分析によると、攻撃者はまず`/OA_HTML/SyncServlet`へのPOSTリクエストを介して攻撃を開始し、XDOテンプレートマネージャー機能を利用してEBSデータベース内に悪意のある新しいテンプレートを作成します。最終段階では、Template Preview機能を通じてペイロードがトリガーされ、システム内で悪意のあるコードが実行されます。
この悪意のあるペイロードは、`XDO_TEMPLATES_B`というデータベーステーブルに新しいテンプレートとして保存されます。テンプレート名(`TemplateCode`)は一貫して`TMP`または`DEF`のプレフィックスで始まり、`TemplateType`は`XSL-TEXT`または`XML`に設定されます。このXSLペイロードの構造は、以前にリークされたOracle EBSエクスプロイトのXSLペイロードと同一であり、攻撃者が既存の技術を応用している可能性を示唆しています。
GTIGは、XSLペイロードに埋め込まれた少なくとも2つの異なるJavaペイロードチェーンを特定しています。一つはGOLDVEIN.JAVAと呼ばれるダウンローダーで、これは攻撃者が制御するコマンド&コントロール(C2)サーバーにリクエストを送信し、セカンドステージのペイロードを取得・実行します。このビーコンは「TLSv3.1」ハンドシェイクを装い、実行結果をHTTPレスポンス内のHTMLコメントとして攻撃者に返すロギング機能を備えています。
もう一つはSAGE*感染チェーンであり、これは複数のJavaペイロードがネストされた複雑な構造をしています。SAGEGIFTというカスタムJavaリフレクティブクラスローダーがSAGELEAFをロードし、SAGELEAFはさらにSAGEWAVEという悪意のあるJavaサーブレットフィルターをインストールします。SAGEWAVEは、AES暗号化されたZIPアーカイブ内のJavaクラスを展開する機能を持っており、`/help/state/content/destination./navId.1/navvSetId.iHelp/`などの特定のパスへのリクエストを監視し、追加のJavaペイロードを展開する永続的なフィルターとして機能します。
攻撃後の活動と脅威アクターの足跡
Oracle EBS環境への侵入に成功した後、脅威アクターは「applmgr」アカウントから偵察コマンドを実行していることが観測されました。これらのコマンドには、システム構成情報を収集するための`cat /etc/fstab`や`cat /etc/hosts`、ネットワーク情報を取得するための`df -h`、`ip addr`、`arp -a`、`ifconfig`、`netstat -an`、そしてプロセス情報を確認する`ps -aux`などが含まれていました。さらに、攻撃者はJava(GOLDVEIN.JAVAのセカンドステージペイロードを実行しているEBSプロセス)から`bash -i`を使用して追加のbashプロセスを起動し、そこから様々なコマンドを実行していました。
この活動の背後にいる脅威アクターの特定は、サイバーセキュリティコミュニティにとって重要な課題です。GTIGは現時点ではこの活動を特定の追跡対象脅威グループに正式に帰属させていませんが、CL0Pの脅迫ブランドの使用、特に2025年5月以降CL0Pのデータリークサイトに掲載されている連絡先アドレス(`support@pubstorm.com`および`support@pubstorm.net`)の使用は注目に値します。GTIGは当初、CL0PのDLSがCL0Pランサムウェアを含む多面的な脅迫活動に使用され、その活動はFIN11に起因すると見ていました。
最近では、被害者の大半が、FIN11およびFIN11の疑いのある脅威クラスターに頻繁に帰属される、マネージドファイル転送(MFT)システムのゼロデイ脆弱性悪用によるデータ窃取脅迫事件に関連しているようです。しかし、CL0PランサムウェアとCL0P DLSがFIN11以外の脅威アクターによっても使用されている証拠も観測されており、この要素のみに基づいて帰属を断定することは困難です。
CL0Pとの重複に加え、攻撃後のツールは以前にFIN11の疑いのあるキャンペーンで使用されたマルウェアと論理的な類似性を示しています。具体的には、セカンドステージペイロードを取得するインメモリJavaベースローダーであるGOLDVEIN.JAVAの使用は、2024年後半にCleo MFTの脆弱性の大規模な悪用中にUNC5936(FIN11の疑いのあるクラスター)によって展開されたGOLDVEINダウンローダーおよびGOLDTOMBバックドアを彷彿とさせます。さらに、最近の脅迫メールの送信に使用された侵害されたアカウントの1つは、以前FIN11によって使用されていました。これらの証拠は、今回の攻撃とFIN11または関連する脅威クラスターとの間に強い関連性があることを示唆しています。
LKQの対応と被害者への影響
LKQは、今回のOracle EBS侵害を受けて、迅速な対応を講じました。同社は、第三者のフォレンジック企業の協力を得て詳細な調査を開始し、問題の封じ込めのためにOracle EBS環境をオフラインにする措置を取りました。侵害されたデータの分析には時間を要したものの、12月1日にはそのプロセスが完了し、被害の全容が明らかになりました。
同社は、システムの追加的な保護策を展開し、セキュリティプラクティスを強化するとともに、セキュリティ監視と制御を向上させることで、保護体制を強化したと報告しています。また、継続的なセキュリティ運用の一環として、セキュリティおよびプライバシーポリシーと手順を定期的に見直し、情報セキュリティプログラムと制御を改善するために必要な変更を実施していると述べています。これらの措置は、将来的な攻撃に対する耐性を高めることを目的としています。
被害を受けた個人に対しては、LKQは12月15日に通知書を送付しました。この通知書の中で、同社はTransUnion傘下のCyberscoutを通じて、2年間の無料クレジット監視および身元回復サービスを提供することを発表しました。これは、流出した雇用主識別番号(EIN)や社会保障番号(SSN)といった機密情報が悪用されるリスクを軽減するための重要な支援策です。
今回のデータ侵害は、特に個人事業主のサプライヤーに影響を及ぼし、彼らの経済活動に潜在的なリスクをもたらす可能性があります。企業がサプライチェーン全体にわたるセキュリティリスクを管理することの重要性が改めて浮き彫りになりました。LKQの対応は、侵害後の迅速な調査、対策の実施、そして被害者への支援という点で、他の企業が学ぶべき教訓を提供しています。
広がる脅威への警鐘と防御の最前線
今回のOracle EBSに対するゼロデイ脆弱性悪用とそれに続く大規模な脅迫キャンペーンは、現代のサイバー脅威の進化と深刻さを浮き彫りにしています。広く利用されているエンタープライズアプリケーションのゼロデイ脆弱性を悪用し、数週間後に大規模なブランド化された脅迫キャンペーンを展開するというパターンは、歴史的にFIN11に帰属される活動の典型的な特徴であり、他の脅威アクターにとっても魅力的な戦略となり得ます。
脅威アクターは、機密データを保存する公開アプリケーションやアプライアンスを標的とすることで、ラテラルムーブメントに時間とリソースを割く必要がなく、データ窃取の効率を大幅に高めることができます。この全体的なアプローチ、すなわちゼロデイ脆弱性の悪用、ネットワークフットプリントの限定、そして脅迫通知の遅延は、防御側に存在を気づかれることなく多数の組織からデータを窃取できるため、全体の被害を確実に増大させます。Cl0p関連のアクターは、2020年後半からこのアプローチを採用して以来、これらの大規模な悪用キャンペーンを成功と認識していることは明らかです。
したがって、今後も同様のアプリケーションに対するゼロデイエクスプロイトの取得にリソースを投入し続けると予想されます。このような状況において、Google Threat Intelligence Group(GTIG)とMandiantは、Oracle E-Business Suite環境の脅威を軽減し、検出するための具体的な推奨事項を提示しています。最も重要なステップは、2025年10月4日および10月11日にリリースされたOracle EBSの緊急パッチを直ちに適用することです。これにより、初期アクセスを防ぐことができます。
さらに、攻撃者がペイロードをEBSデータベースに直接保存するため、管理者は`XDO_TEMPLATES_B`および`XDO_LOBS`テーブルを照会し、悪意のあるテンプレートを特定するためのハンティングを直ちに行うべきです。また、観測されたJavaペイロードはC2サーバーへのアウトバウンド接続を必要とするため、EBSサーバーからインターネットへの不要なアウトバウンドトラフィックをすべてブロックすることが、攻撃チェーンを中断させるための補償制御として機能します。`TemplatePreviewPG`エンドポイントへのリクエストや、`/OA_HTML/configurator/UiServlet`、`/OA_HTML/SyncServlet`への異常なリクエストなど、ネットワークログを継続的に監視し、IoCを分析することも不可欠です。最後に、このキャンペーンで使用されるインプラントは主にJavaベースでメモリ内で実行されるため、侵害が疑われる場合は、EBSアプリケーションに関連するJavaプロセスのメモリ分析が、ディスク上に存在しない悪意のあるコードやアーティファクトを明らかにする可能性があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Auto Parts Giant LKQ Confirms Oracle EBS Breach - https://www.securityweek.com/auto-parts-giant-lkq-confirms-oracle-ebs-breach/
- -US Autoparts Maker LKQ Confirms Oracle EBS Breach - https://www.infosecurity-magazine.com/news/lkq-confirms-oracle-ebs-breach/
- -Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign | Google Cloud Blog - https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation