Oracle Databaseの脆弱性を突くランサムを観測、Yarixが警告
あなたの管理するOracleデータベースは、本当に安全だろうか?米時間2025年9月16日、セキュリティ企業Yarixは、自社のインシデントレスポンスチームが対応した実際の攻撃事例を公表し、この脅威が現実のものであることを強く警告した。
多くの運用現場で活用されている、Oracleデータベースに組み込まれたタスク自動実行機能「Oracle Database Scheduler」が、今、ランサムウェア攻撃の新たな侵入口として悪用されているという。
本記事では、攻撃者がどのようにしてデータベースの正規機能を悪用してシステムに深く侵入し、最終的にランサムウェアを展開するのか、その具体的な手口と、明日から実践できる防御策を専門家の視点から解説する。
参考記事
Elons (Proxima/Black Shadow related) ransomware attack via Oracle DBS External
Threat Actors Leverage Oracle Database Scheduler to Gain Access to Corporate Environments
新たな脅威か、古くからの亡霊か
Oracle Database Schedulerの外部ジョブ実行機能が悪用されるリスクは、実は今に始まった話ではない。
少なくとも2005年には、Oracleデータベースに標準で組み込まれた高機能なジョブ管理システム「DBMS_SCHEDULER」に関連する権限昇格の脆弱性が報告されており、知識のある攻撃者の間では既知の攻撃経路だった。
しかし、これが新たな脅威として再認識されるべき理由は、近年の攻撃者がこの古い手口を洗練させ、ランサムウェアの展開という破壊的な目的に利用し始めた点にある。
Yarixが報告した事例は、この古典的な攻撃ベクトルが、PowerShellや正規のリモートアクセスツールと組み合わされることで、いかに検知が困難で深刻な被害をもたらす現代的な攻撃チェーンへと進化したかを明確に示している。
攻撃シナリオ(外部ジョブ機能を悪用)
攻撃は、周到な準備と複数のステップを経て実行される。Yarixが公開した事例を基に、その詳細な流れを理解することが、有効な対策を講じる第一歩となる。
初期侵入からコマンド実行まで
攻撃の起点は、多くの場合、脆弱なパスワードや盗まれた認証情報を使ったデータベースへのログインだ。攻撃者はSYSDBAやSYSOPERといった強力な管理者権限を狙い、ブルートフォース攻撃やリスト攻撃を仕掛ける。一度認証に成功すると、次に行うのがDBMS_SCHEDULER.CREATE_JOBプロシージャの悪用である。
このプロシージャを使い、攻撃者はjob_typeとしてEXECUTABLEを指定した悪意のあるジョブを作成する。これにより、Oracleの外部ジョブ実行プロセスであるextjobo.exeを介して、OS上で任意のコマンドやスクリプトを実行できるようになる。
これは、データベースの正規機能を使った正当な操作に見えるため、多くの監視システムを欺くことができる。
正規ツールを悪用する「Living-off-the-Land」攻撃
コマンド実行の権限を得た攻撃者は、次に「Living-off-the-Land」と呼ばれる戦術に移行する。これは、攻撃用のマルウェアを極力使わず、OSに標準搭載されたツールを悪用して活動する手法だ。今回の攻撃では、PowerShellがその中心的な役割を担う。
攻撃者は、Base64でエンコードされたPowerShellスクリプトをextjobo.exe経由で実行させる。これにより、ウイルス対策ソフトによる検知を回避しながら、システムの情報を収集し、外部のコマンド&コントロール(C2)サーバーから追加のペイロードをダウンロードし、リバースシェルを確立する。
すべての活動がメモリ上で行われ、ディスクにはほとんど痕跡を残さないため、攻撃の発見と追跡は極めて困難になる。
攻撃がもたらす深刻な被害
この攻撃手法が成功すると、企業は多岐にわたる深刻な被害を受けることになる。その影響は、単一のサーバーに留まらない。
| 被害内容詳細 | |
|---|---|
| ランサムウェアの展開 | データベースサーバーや接続されているストレージが暗号化され、事業継続が不可能になる。 |
| 永続的なバックドアの設置 | ngrokのような正規ツールを悪用して外部C2サーバーへの暗号化トンネルを構築し、いつでも再侵入できる状態にする。 |
| 権限昇格と、それに続く横展開の危険性 | 侵入に成功した攻撃者は、システム内に新たな管理者アカウントを作成し、権限昇格を図ります。これは、ネットワーク内の他のサーバーやPCへと侵入範囲を拡大する「横展開(Lateral Movement)」の足がかりとして悪用される、極めて危険な戦術です。 Yarixが報告した事例では、幸いにも侵入範囲が単一のサーバーに限定されていたため、被害の横展開は発生しませんでした。しかし、これはあくまで結果論です。 同様の手口を用いられれば、データベースサーバーを踏み台に、組織全体のシステムが侵害される深刻なリスクをはらんでいることを意味します。 |
| 機密情報の窃取 | 攻撃活動の過程で、データベース内に保管されている顧客情報や財務データなどの機密情報が盗み出される。 |
今すぐ実施すべき防御戦略
この巧妙な攻撃から自社のシステムを守るためには、多層的な防御アプローチが不可欠だ。以下に、今すぐ検討すべき具体的な対策を示す。
| 対策項目 | 具体的なアクション |
|---|---|
| 権限の最小化 | CREATE ANY JOBやCREATE EXTERNAL JOBといった強力な権限を持つユーザーを厳格に洗い出し、業務上本当に必要なアカウント以外からは権限を剥奪する。 |
| データベース監査の強化 | 不審なジョブ(特に外部ジョブ)の作成、管理者権限でのログイン試行、OSコマンドの実行などを常時監視し、異常があれば即座にアラートを発する仕組みを構築する。 |
| プロセス実行の監視 | extjobo.exeからPowerShellが起動される、といった通常では考えにくい親プロセス・子プロセスの関係性を監視し、不審な振る舞いを検知するEDRソリューションを導入する。 |
| ネットワークの可視化と制御 | データベースサーバーからの不審な外部への通信を監視・ブロックする。特に、ngrokなどが利用する可能性のあるポートやドメインへのアクセスは厳しく制限する。 |
| パッチ適用と構成管理 | Oracleデータベースのセキュリティパッチを迅速に適用する。また、データベースのリスナーをインターネットに公開しないなど、セキュアな構成を維持する。 |
まとめ
Oracle Database Schedulerは、日々の運用を支える強力な機能である一方、攻撃者にとっては格好の侵入口にもなり得る諸刃の剣だ。
Yarixが2025年9月に公表したインシデント報告は、古くから知られていた脆弱性が現代的なランサムウェア攻撃の手法として再利用され、深刻な脅威となっている現実を浮き彫りにした。
ファイアウォールやアンチウイルスといった従来の対策だけでは十分でなく、データベースの権限管理を徹底し、内部での不審な振る舞いをいかに早く検知できるか。
運用現場には、これまで以上にプロアクティブで深いレベルのセキュリティ監視が求められている。自社の環境を再点検し、潜在的なリスクの芽を今すぐ摘み取ることが重要だ。
この記事をシェア
