管理者権限を持つOktaユーザーを狙うサイバー攻撃が見つかる 推奨される予防策は？：セキュリティニュースアラート

Oktaは管理者権限を持つユーザーを標的にしたソーシャルエンジニアリング攻撃を確認した。脅威アクターはOktaの顧客テナントで高い権限を持っており、MFAのリセットを要求できる。

[後藤大地，有限会社オングス]

　Oktaは2023年9月1日（現地時間）、ITサービスデスク担当者を標的としたソーシャルエンジニアリングを使ったサイバー攻撃を観測したと報じた。脅威アクターはOktaの顧客テナントで高い権限を取得し、ユーザーの多要素認証（MFA）のリセットを要求できるとしている。

OktaはITサービスデスク担当者を標的としたソーシャルエンジニアリングを使ったサイバー攻撃を観測した（出典：OktaのWebサイト）

高権限のOktaユーザーを狙うサイバー攻撃に注意　推奨される予防策

　Oktaが報告している主な内容は以下の通りだ。

• 脅威アクターは特権ユーザーアカウントのパスワードを知っているか、「Active Directory」を介して委任認証フローを操作して標的アカウントの全てのMFAのリセットを要求できる状態にあると考えられる。Oktaのユーザーに関して脅威アクターは管理者権限を付与されたユーザーを標的としている
• 脅威アクターは匿名化されたプロキシーサービスと以前ユーザーアカウントに関連付けられていないIPとデバイスを使って侵害されたアカウントにアクセスしている
• 窃取された管理者権限アカウントは他のアカウントに高い権限を割り当てたり、既存の管理者アカウントに登録されている認証機能をリセットしたりするために使われている
• 脅威アクターは偽装アプリとして機能するために2番目のIDプロバイダーを設定していた。このIDプロバイダーも脅威アクターによって制御されている

　Oktaはこれらの観測結果を取り上げ、管理者アカウントを保護することや制限することの重要さを指摘しつつ以下の推奨事項を挙げている。

• 「Okta FastPass」とFIDO2 WebAuthnの認証フローをフィッシング耐性のある認証で実施する
• 「Admin Console」を含む特権アプリケーションにアクセスするための認証ポリシーを構成してサインインの度に再認証を要求する
• セルフサービスリカバリーを利用する場合は使用可能な最も強い認証ソフトを使ってリカバリーを開始し、リカバリーフロー信頼できるネットワークに制限する
• ヘルプデスク担当者によるリモート監視および管理（RMM）ツールの使用を確認して統合し、他の全てのRRMツールの使用をブロックする
• ヘルプデスク担当者がユーザーのIDプロバイダーを検証するためにMFAチャレンジを発行するビジュアル検証の組み合わせを使ってヘルプデスクのID検証プロセスを強化する
• 管理者アカウント用の特権アクセス管理（PAM）を実装して使用する
• 専用に管理ポリシーを適用し、管理者アカウントが管理対象デバイスからフィッシング耐性のある多要素認証（Okta FastPass、FIDO2 WebAuthn）を介してサインインする必要があるようにする

　観測されているサイバー攻撃は予防可能とされており、Oktaが推奨しているアドバイスの適用を検討することが望まれている。