Oktaの顧客を狙った大規模なサイバー攻撃 従業員のアカウント侵害が引き金か：セキュリティニュースアラート

Oktaは、1PasswordとBeyondTrustの報告を受け、2023年9月28日〜10月17日にかけて134の顧客がサイバー攻撃者による不正アクセスの影響を受けたことを発表した。

[後藤大地，有限会社オングス]

　Oktaは2023年11月3日（現地時間、以下同）、同年10月19日に通知したサイバーセキュリティインシデントに関する詳細情報を公表した。

　同サイバーセキュリティインシデントは2023年9月29日に1PasswordがOktaサポートに対して不審なアクティビティーを報告したことに端を発している。当初、Oktaは1Passwordがマルウェアまたはフィッシングの被害にあった可能性を考えていたが、2023年10月2日にはBeyondTrustからも同様に不審なアクティビティーに関する報告を受け、最終的に今回の報告に至った。

Oktaは2023年10月19日に通知したサイバーセキュリティインシデントに関する詳細情報を公表した（出典：OktaのWebサイト）

Okta顧客を狙ったサイバー攻撃　従業員のGoogleアカウント侵害が引き金か

　Oktaは「2023年9月28日〜10月17日にかけてサイバー攻撃者による不正アクセスを受けていたことが判明した」と説明している。調査によると、サイバー攻撃者は、Oktaのカスタマサポートシステム内のファイルに不正にアクセスし、134の顧客が影響を受けたという。サイバー攻撃者は5人の顧客の正規Oktaセッションをハイジャックできたとされている。

　Oktaカスタマサポートシステムへの不正アクセスにはシステムに保存されているサービスアカウントが悪用されたことも判明している。このサービスアカウントにはカスタマサポートケースを表示および更新する権限が付与されている。このアカウントが従業員の個人用「Google アカウント」に保存されており、従業員のGoogleアカウントまたはデバイスが侵害されたことが今回のサイバーセキュリティインシデントの発端になった可能性が高いと分析されている。

　Oktaは一連のサイバーセキュリティインシデントを受けて次のタスクに取り組んだことを発表した。

• 侵害されたカスタマサポートシステムのサービスアカウントの無効化
• Oktaが管理するノートPCで個人用「Googleプロファイル」を使って「Google Chrome」にサインインできないように「Chrome Enterprise」の構成オプションを実装
• カスタマサポートシステム用に追加の検出ルールと監視ルールを導入
• ネットワークの場所に基づくOkta管理者セッショントークのバインドを実施