【セキュリティ事件簿#2025-244】Oracle Cloud、インシデントの隠ぺいに失敗する(笑)

 

クラウドの安全神話を揺るがす事件が、またひとつ明るみに出た。

Oracle(オラクル)は、2025年3月に発覚した大規模なデータ侵害について、当初は「被害なし」と主張。しかし、数週間にわたり事実を否定し続けた末、訴訟をきっかけに一部顧客へ“こっそり”通知していたことが判明した。

もはや「隠ぺい」と呼ばずして、何と呼ぶのか。

■ データ侵害の実態──被害は600万件以上、140,000テナントに波及か

問題の発端は、Oracle CloudのSSO(シングルサインオン)およびLDAPシステムから約600万件の認証関連データが流出したとされる事件。

ハッカーはこのデータをダークウェブ上で販売し、その正当性を証明するサンプルには実在する企業のログイン情報が含まれていた。

情報によれば、被害は最大14万テナントに及ぶ可能性がある。

■ Oracleの初期対応──「被害なし」「旧環境の話」と繰り返す

Oracleは事件発覚当初から、「Oracle Cloudに対する侵害は存在しない」「漏えいした資格情報は古く、非現行システムに関わるもの」と繰り返し主張。

しかし、流出したデータには2024年の情報も含まれていたとする証言もあり、Oracleの説明との矛盾が次々と明らかに。

一部の顧客に対しては、FBIやCrowdStrikeが調査中であることを含め、裏で通知していたことも判明。

表では否定しながら、裏では認めていたという構図に、業界内外から厳しい視線が向けられている。

■ 集団訴訟が火に油──「60日以内の通知義務違反」との指摘も

米テキサス州では、フロリダ州のMichael Toikach氏が集団訴訟を提起。

訴状では、Oracleが60日以内に被害者へ通知すべきだった義務を怠ったとして、テキサス州法違反を主張。

さらに訴訟は、Oracleが故意に情報を隠したことで、被害者に追加のリスクを与えたと強く非難。

「オラクルは、サイバー脅威を封じ込めたのかさえ明かしていない」「この沈黙は、被害者にとって最大の恐怖だ」と糾弾している。

■ 専門家の見解:「テナント隔離神話は崩壊した」

セキュリティ専門家からも、今回のOracleの対応には厳しい批判が相次いでいる。

Beagle SecurityのアドバイザーSunil Varkey氏は、「クラウド事業者の信頼性を根本から揺るがす事件。テナント間の隔離が守られているという“神話”が崩れた」と指摘。

また、「SSOの侵害は、グローバル企業から中小企業まで全テナントを標的に変える“罠”」とし、もはや他人事では済まされない現実を突きつけている。

■ Oracleの“言い訳”を信じてはいけない理由

Oracleは今も公式には「侵害は存在しない」と言い続けているが、それを信じているセキュリティ関係者は皆無といっても過言ではない。

「漏えいは旧システム」と言いながら、データは2024年のもの

「顧客には影響なし」としながら、裏で限定的に通知

「SSOの侵害はない」と言いながら、SSOのトークンが販売されている

この一貫性のなさと情報開示の不誠実さは、Oracleという企業の本質=“隠ぺい体質”を浮き彫りにしている。

■ クラウド時代の“信頼”とは何か

クラウドインフラを提供する企業にとって、最大の資産は「ユーザーからの信頼」であるはずだ。

だが今回のOracleは、その信頼を自ら投げ捨てるような対応を続けている。

今後、企業がクラウドサービスを選定する際、「サービスの機能」ではなく「その企業の誠実さ」を見る時代が来るのかもしれない。


あなたの使っているクラウド、本当に大丈夫ですか?

「Oracle Cloud」は、今やその問いを投げかける象徴的存在となりつつあります。

出典:Oracle quietly admits data breach, days after lawsuit accused it of cover-up