米テック大手Oracleが直面する二件のセキュリティ侵害対応を巡り、透明性の欠如と責任回避の姿勢に批判が集中している。特にOracleが2022年に買収した医療記録企業Cernerと統合されたOracle Healthでは、患者データが盗まれたとされ、数百万ドル規模の身代金要求も発生。

一方で、Oracle Cloudに関する侵害では、複数の証拠や専門家の指摘にもかかわらず、Oracleは侵害そのものを否定し続けている。内部従業員の証言からは、社内コミュニケーションの不全や現場の混乱も浮き彫りになった。

サイバーセキュリティ専門家らは、同社の対応を「責任逃れ」と批判し、今後の信頼回復には情報開示と説明責任の徹底が不可欠であると警鐘を鳴らしている。

医療データ流出と旧インフラの脆弱性が露呈したOracle Healthのインシデント

2025年2月に発覚したOracle Healthのセキュリティ侵害では、依然として旧式のレガシーサーバーが稼働していたことが明らかとなった。侵害を受けたのは、同社が2022年に280億ドルで買収したCernerの資産で、Oracle Cloudへの移行が完了していない領域である。この脆弱性を突いた攻撃により、ハッカーは患者の医療記録に不正アクセスし、数百万ドル単位の身代金を医療機関に要求していると報じられた。患者データという極めてセンシティブな情報が標的となったことから、単なる情報漏洩ではなく、人命に関わるリスクも孕む事件である。

Oracleは、事件の一部について医療機関に通知したとされるが、どの組織が影響を受けたか、盗まれたデータの具体的な内容については明らかにしていない。さらに、従業員の証言によれば、社内の対応も混乱しており、調査の進捗すらSlackやReddit経由でしか把握できなかったという。この状況は、企業の情報統制の欠如と危機管理体制の不備を如実に示している。医療分野においては、技術的先進性以上に信頼性と透明性が求められる。旧インフラの運用を継続したことが招いた結果として、同社の統合戦略には再検討の余地があると言える。

否定を貫くOracleと浮上するクラウド部門への不信

Oracle Cloudに対する侵害疑惑では、複数の証拠が提示されたにもかかわらず、Oracleは侵害そのものを真っ向から否定した。ハッカー「rose87168」がOracle Cloudのサーバーに自身のハンドル名を記したファイルをアップロードし、顧客データ600万件を掲示板上で販売すると主張した事実は、セキュリティ専門家によっても確認されている。さらに、Oracleの一部顧客が提供されたデータの信憑性を認めたことで、攻撃の実在性が一層強まった。それでもOracleは、「Oracle Cloudに侵害は発生していない」との立場を堅持している。

この対応に対しては、サイバーセキュリティ専門家Kevin Beaumontが「Oracleは“Oracle Cloud”という言葉に執着し、責任を回避しようとしている」と厳しく批判。用語の解釈を盾にした対応は、説明責任を果たしていないという指摘である。加えて、Lisa Forteも「事実であれば非常に悪い印象を与える」とSNS上で言及しており、Oracleに対する信頼性は大きく揺らいでいる。情報開示を怠る企業は、たとえクラウド基盤が堅牢であっても、顧客離れを招く。今回の否定姿勢は、技術力以上に問われるべき「信頼のガバナンス」の欠如を映し出している。

Source:TechCrunch