Oracle、自社SaaSサービスで発生した深刻なセキュリティ事故の隠蔽を試みた疑い

• Oracleが管理するSaaSサービスで深刻なサイバーセキュリティ事故が発生したにもかかわらず、Oracleがこれを顧客に知らせず隠蔽しようとした形跡が明らかになった
• クラウドサービス提供者にはサイバーセキュリティ事故について透明性のある開示が不可欠だが、Oracleはむしろ被害の事実を否定

事件の概要とハッカーの主張

• 2025年3月21日、ハッカーrose87168が*.oraclecloud.com内の一部Oracleサービスへの侵害を主張
• Oracleは直ちに**「Oracle Cloudへの侵害はなかった」**と公式に否定し、関連する認証情報はOracle Cloudとは無関係だと説明
• しかしハッカーは、login.us2.oraclecloud.comサーバーに書き込み権限を持っていたことを示すリンクと資料を提示
  • 当該サーバーはOracle Access Managerベースで、Oracleが直接管理するシステム

流出の証拠と内部会議の録音

• ハッカーは**Oracle内部会議の録音ファイル（2時間分）**を公開
  • この会議では、Oracle社員がシステムアクセス、パスワード保管庫、顧客情報へのアクセスについて言及
  • YouTube動画リンク, 全文テキストを見る
• ハッカーはさらに、OracleのWebサーバー設定ファイルや内部システム設定を含む追加資料も公開
  • 流出データには顧客企業の従業員メールアドレスなどの実データが含まれている

Oracleの対応と言葉のすり替え

• Oracleは「Oracle Cloud」サービスには問題がないと主張しつつ、**旧サービス（Oracle Classic）**へ名称を切り替えることで対象範囲を回避しようとした
• これは**実際の被害範囲を隠そうとする言葉のすり替え（wordsmithing）**と解釈されている
• Archive.orgに証拠資料の削除を要請したが、2つ目のURLは削除されず、依然としてアクセス可能

セキュリティコミュニティの反応と要約

• セキュリティ専門家やメディアはOracleの対応を批判
  • Oracleは顧客データを扱うサービスを運営しながら、信頼と透明性に対する責任を回避している
• 被害が確認されたサービスは、Oracleが直接運営するクラウドインフラ
• これは単なる技術問題ではなく、企業の説明責任と倫理の問題

要点まとめ

• ハッカーはOracleクラウドサービス内部に侵入し、実データとシステム情報を流出させた
• Oracleはこれを認めず、用語のすり替えで事故の範囲を小さく見せようとした
• セキュリティ専門家はOracleに明確で公的な説明と顧客保護措置を求めている