日立傘下のデジタルエンジニアリング企業GlobalLogicは、ClopランサムウェアグループによるとされるOracle E-Business Suite(EBS)攻撃により、現役および元従業員10,471人の個人データが流出したことをメイン州司法長官に届け出た。
盗まれたデータには氏名、住所、社会保障番号、パスポート情報、銀行口座詳細が含まれる。同社の調査によると、攻撃者の活動は2025年7月10日に始まり8月20日まで続いたとみられている。攻撃者はCVE-2025-61882およびCVE-2025-61884として追跡される脆弱性を悪用し、インターネットに公開されたシステムを標的にした。
同様の攻撃はThe Washington PostやAllianz UKも被害を受けており、Allianz UKでは現顧客80人、元顧客670人が影響を受けた。Clopのリークサイトには約30の組織が掲載されており、ヘルスケア、家電、金融、製造、教育、メディアなど多岐にわたる。
Oracleは10月初旬に緊急パッチをリリースしたが、多くの組織はそれ以前に侵害されていた可能性が高い。
From: 
Hitachi-owned GlobalLogic admits data stolen on 10k current and former staff
【編集部解説】
今回のGlobalLogicへの攻撃は、Clopランサムウェアグループによる大規模かつ戦略的なキャンペーンの一部です。注目すべきは、攻撃者が7月初旬という極めて早い段階から活動を開始していた点で、Oracleが10月初旬に緊急パッチをリリースする前に、すでに多くの企業が侵害されていました。
攻撃に悪用されたCVE-2025-61882とCVE-2025-61884は、単独の脆弱性ではなく、複数の弱点を連鎖させることで認証なしのリモートコード実行を可能にする攻撃チェーンを構成しています。具体的には、SSRF(サーバーサイドリクエストフォージェリ)を起点に、内部HTTPサービスへのアクセス、パストラバーサル、そしてXSLTの実行を通じた任意コード実行へと段階的にエスカレートする手法が取られました。
Clopの戦術で特筆すべきは、データ暗号化を伴わない「データ窃取のみ」の恐喝モデルです。これは過去のAccellion、MOVEit、GoAnywhereでの攻撃でも採用された手法で、暗号化ツールの展開という運用リスクを回避しつつ、高い成功率を維持しています。実際、MOVEit攻撃では2,700以上の組織が影響を受けたことが報告されています。
Oracle E-Business Suiteは20年以上前にリリースされたレガシーシステムながら、給与、調達、人事といった企業の根幹を支えるシステムとして、依然として多くの大企業で稼働しています。このような広範な導入基盤こそが、攻撃者にとって格好の標的となる理由です。
今回の事案が示唆するのは、レガシーシステムの抱える構造的リスクです。複雑なアーキテクチャゆえに脆弱性の発見が遅れ、パッチ適用にも時間を要します。さらに、インターネットに直接公開されたシステムが依然として多く存在する実態も明らかになりました。企業には、システムの可視化、適切なセグメンテーション、そしてゼロトラストアーキテクチャへの移行が求められています。
【用語解説】
Oracle E-Business Suite(EBS)
Oracleが提供するエンタープライズリソースプランニング(ERP)ソフトウェアで、給与、調達、人事、財務などの企業業務を統合管理するシステムである。20年以上前にリリースされたレガシーシステムだが、現在も多くの大企業で稼働している。
Clopランサムウェアグループ
ロシア語圏を拠点とするサイバー犯罪組織で、データ暗号化ではなくデータ窃取と恐喝を主な手法とする。Accellion、MOVEit、GoAnywhereなどの広く使用されるエンタープライズソフトウェアのゼロデイ脆弱性を迅速に悪用することで知られる。
CVE-2025-61882 / CVE-2025-61884
Oracle E-Business Suiteに存在する脆弱性で、CVSS評価は9.8(緊急)。認証なしのリモートコード実行を可能にする攻撃チェーンを構成し、SSRF、パストラバーサル、XSLTの実行などを組み合わせた複雑な攻撃手法が用いられる。
データ窃取型恐喝
従来のランサムウェアのようにデータを暗号化するのではなく、データを盗み出してダークウェブのリークサイトに公開すると脅して身代金を要求する手法である。暗号化ツールの展開リスクを回避できるため、攻撃者にとって効率的な手法となっている。
【参考リンク】
GlobalLogic公式サイト(外部)
日立グループ傘下のデジタルエンジニアリング企業。世界最大級の企業向けに製品設計やプラットフォーム開発を提供。
Oracle E-Business Suite製品ページ(外部)
Oracleが提供する統合業務管理システムの公式情報ページ。製品機能、導入事例、技術仕様などが掲載。
Oracle Critical Patch Update Advisory – October 2025(外部)
CVE-2025-61882およびCVE-2025-61884を含む脆弱性に対する緊急パッチのリリース情報と対策方法。
【参考記事】
Allianz UK confirms Oracle EBS compromise – The Register(外部)
Allianz UKが現顧客80人、元顧客670人の情報流出を確認したことを報じている。
GlobalLogic warns 10000 employees of data theft after Oracle EBS breach(外部)
GlobalLogicが10,471人の従業員データ流出を通知。氏名、住所、社会保障番号、パスポート情報、銀行口座詳細が含まれる。攻撃は2025年7月10日から8月20日の間に発生した。
【編集部後記】
今回の事案で私が最も気になったのは、日立というグローバル企業の傘下にある企業でさえも被害に遭っているという事実です。つまり、企業規模やセキュリティ投資の大小に関係なく、レガシーシステムの脆弱性は誰にとっても無関係ではないということではないでしょうか。
皆さんの会社でも、古くから使われている基幹システムがあると思います。それらは本当にインターネットから適切に隔離されているでしょうか。もしくは、最新のパッチが適用されているでしょうか。この機会に一度、自社のシステム環境を見直してみませんか。
