【Oracle EBS に対する恐喝キャンペーン】

Cl0p ランサムウェアグループ関連の攻撃者が、Oracle E-Business Suite（EBS）の顧客を標的にしています。2025年7月、定例パッチの脆弱性を悪用し、対象メールアカウントやパスワードリセット機能によって不正アクセスを実施。被害者には最大5,000万ドルの恐喝メールが送られました。Oracle は速やかなパッチ適用を呼びかけています。

【ゼロデイによるハーバード大学の侵害】

Cl0p による一連の攻撃に際して、ハーバード大学でも悪意のある侵害が発生しました。Oracle EBS のゼロデイ脆弱性（CVE-2025-61882）を悪用したものです。影響は小規模な管理部門に限定されましたが、Cl0p は同大学のデータ窃取を主張しており波乱を呼んでいます。

近年では教育機関へのサイバー攻撃が頻発している一方で、セキュリティ対策にリソースを割けない教育機関が大多数。組織規模で意識改革して、学校・職員・生徒を守るセキュリティ対策を講じるのが急務といえます。

【米国政府の停止による情報共有の混乱】

2025年10月1日から始まった米国連邦政府のシャットダウンにより、サイバーセキュリティの連携が混乱。サイバーセキュリティ情報共有法（Cybersecurity Information Sharing Act）の期限切れと重なり、企業が法的保護なしで情報共有することに慎重になっています。専門家は、国家的な防御力の低下を懸念しています。

【Discord の外部委託先による情報漏えい】

世界的プラットフォーム・Discord のカスタマーサポート委託先が侵害され、ユーザのメールアドレスやサポートメッセージなどが漏えいしました。近年増加中の「サプライチェーン攻撃」の一例であり、外部委託のリスクとアクセス制御の重要性が改めて浮き彫りになっています。

大手企業はグループ全体のガバナンスを徹底するとともに、より強固なセキュリティ体制を敷く必要があるでしょう。例えば、下記記事にあるような要素を組み合わせてセキュアな環境である「ゼロトラスト」構築を目指すなど、新たな仕組み作りも視野に入れて対策を進めるのがおすすめです。

【Salesforce に関する大規模なデータ漏えいの主張】

ハッカー集団・ShinyHuntersが、Salesforce のクラウドCRMを利用する複数企業から約10億件の顧客データを窃取したと主張しました。音声フィッシングなどでユーザを騙し、各企業のデータを盗んでいるようです。

【アサヒグループへの攻撃で欧州のビール供給に影響】

アサヒグループホールディングスがヨーロッパ事業に影響を及ぼすサイバー攻撃を受け、ビール商品などが一部市場で一時的に不足しました。生産・流通のITシステムへの攻撃による生産停止から一か月経っていますが、現時点だと全面復旧まで未だに見通しが立っていません。なお、IIJ編集部では本事例のような製造関連のサイバー攻撃・対策について下記記事にて解説しています。

サイバー攻撃の毒牙はグローバル企業に向いている・・・厳重に警戒を！

10月のインシデントを振り返ると、世界各国のグローバル企業を対象にした大規模なものが多くなっていることがわかります。インシデントを防ぐためには自社のITシステムに加えて、サプライチェーンに潜む脆弱性も把握する必要性があるため、膨大なリソースを割く必要があるでしょう。

IIJが提供する「IIJ Safous Security Assessment」は、一回60,000万円台でIT資産を“定期健診”するように調査・評価できるアセスメントサービスです。自社グループのどこに脆弱性が隠れているかを突き止められるため、具体的なセキュリティ対策の第一歩となります。

IIJではこのほかにも様々なセキュリティサービス・ソリューションを展開中なので、もしご興味あれば下記フォームよりお気軽に相談・質問ください。

サービスの詳細やお見積りなど担当者よりご返事します

フォームでのお問い合わせ

1

ご相談やご質問をお知らせください

2

担当者よりメールまたはお電話でご連絡いたします

今すぐ相談する