Washington Post data breach impacts nearly 10K employees, contractors

ワシントン・ポスト紙は、オラクル社のデータ窃盗攻撃により、約1万人の従業員および請負業者に個人情報および財務データの一部が流出したことを通知している。

この報道機関は、約250万人のデジタル購読者を抱える米国最大級の日刊紙である。

7月10日から8月22日にかけて、脅威者は同社のネットワークの一部にアクセスした。彼らは当時ゼロデイだったOracle E-Business Suiteソフトウェアの脆弱性を利用し、機密データを盗み出した。

Wiz

9月下旬、ハッカーたちはワシントン・ポスト紙を恐喝しようとした。

ハッカーたちは、ワシントン・ポスト社が社内で使用していたOracle E-Business Suiteソフトウェアの当時ゼロデイだった脆弱性を利用してデータを盗み出し、9月下旬に同社を恐喝しようとした。

Oracle E-Business Suiteは、人事、財務、サプライチェーン機能を備えた企業資源計画(ERP)プラットフォームで、大企業が社内で広く使用している。

ワシントン・ポスト紙が影響を受けた個人に対して行った通知によると、オラクルは、報道機関が情報漏洩事件を調査している間にセキュリティの脆弱性を公表した。

「2025年9月29日、Postは、Oracle E-Business Suiteアプリケーションにアクセスしたと主張する悪意のある人物から連絡を受けました

“これを受けて、Post社は専門家の協力を得て、オラクルのアプリケーション環境について徹底的な調査を開始し、その環境が不正にアクセスされたかどうかを判断しました。”

“調査中、オラクルは、E-Business Suiteソフトウェアにこれまで知られていなかった広範な脆弱性を特定したと発表した。” “この脆弱性は、無許可の行為者が多くのオラクル顧客のE-Business Suiteアプリケーションにアクセスすることを可能にしていた。”

攻撃者の名前は書簡の中では挙げられていないが、Clopランサムウェア・グループは、現在CVE-2025-61884として追跡されているゼロデイ欠陥を悪用し、これらの攻撃に関連している

Oracle E-Business Suiteの同じ脆弱性を利用して侵入された組織には、ハーバード大学、アメリカン航空の子会社Envoy Air、日立のGlobalLogicがある。

これらは、侵害を確認した被害者の一部であり、また彼らの環境における不審な活動を調査中である。しかし、Clopのデータ漏洩サイトには、より多くの漏洩組織が掲載されている。

この事件に関するThe Postの調査は10月27日に終了し、9,720人の従業員と請負業者が所有する以下の種類のデータが漏洩したことが明らかになった:

  • 氏名
  • 銀行口座番号および支店番号
  • 社会保障番号(SSN)
  • 納税者番号およびID番号

影響を受けた個人は、IDXを通じて12ヶ月間のID保護サービスを無料で受けることができ、クレジット・ファイルにセキュリティ・フリーズをかけ、レポートに詐欺アラートを設定することを検討するよう推奨されている。

6月には、ワシントン・ポスト紙が、外国人によるサイバー攻撃で複数の記者の電子メール・アカウントが侵害されたと発表した。

この2つの事件は互いにすぐ後に発生したが、両者には関連があることを示す証拠がある。

がワシントン・ポスト紙に追加の質問を問い合わせたので、回答があり次第、この記事を更新する。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Wiz

秘密 セキュリティ・チートシート:スプロールからコントロールへ

古いキーのクリーンアップでも、AIが生成するコードのガードレールの設定でも、このガイドはチームが最初からセキュアに構築するのに役立ちます。

チートシートを入手して、秘密管理の手間を省きましょう。