Okta環境を狙ったサイバー攻撃 被害企業に聞く「事後の対応」：Cybersecurity Dive

Oktaの顧客を狙ったソーシャルエンジニアリング攻撃に対し、同社の顧客はどう対抗したのか。各被害企業がその詳細な取り組みを語った。

[Matt Kapko，Cybersecurity Dive]

　盗まれた認証情報を悪用して、サイバー攻撃者がOktaのサポートシステムの管理者アカウントにアクセスした。これは、2023年7月下旬以降にOktaとその顧客を襲った2回目の攻撃となった。

　OktaのCSO（最高戦略責任者）であるデビッド・ブラッドバリー氏は「このサイバー攻撃者は最近のサポートケースの一環として一部の顧客がアップロードした機密データを含むファイルを閲覧した」と2023年10月20日（現地時間、以下同）のブログ投稿で述べた（注1）。

狙われたOkta環境　同社の顧客はサイバー被害にどう対抗したか

　Oktaは、このサイバー攻撃によって影響を受けた顧客の数に関する明言を避けた。この攻撃は、Oktaの顧客4社がソーシャルエンジニアリング攻撃の被害に遭い、高度な特権を持つユーザーアカウントが侵害された攻撃の約2カ月後に発生した（注2）。

　攻撃から数週間後、MGM Resortsに対して2023年9月下旬に実行されたランサムウェア攻撃に関連するサイバー攻撃者が（注3）、「攻撃前にMGM ResortsのOkta環境にアクセスした」と主張している。

　このIDベースの攻撃は、特権管理アクセスプラットフォームを運営するBeyondTrustのセキュリティチームによって最初に発見された。同チームは2023年10月2日に侵害の懸念をOktaと共有した。だがOktaのセキュリティチームは、攻撃の影響を受けたOktaの顧客であるBeyondTrustと同年10月11日まで会議をしなかった。

　BeyondTrustのCTO（最高技術責任者）であるマーク・マイフレット氏は「その後、Oktaのセキュリティチームは2023年10月11日にBeyondTrustと会議を実施し、同年10月19日に内部の侵害が確認された」と同年10月20日のブログ投稿で述べた（注4）。

　BeyondTrustが、Okta環境の管理者アカウントへのアクセスを試みるサイバー攻撃者を発見してから、Oktaによる侵害の確認と公表が実施されるまでに2週間以上が経過している。このことは、サイバー攻撃者が2週間以上もの間、Oktaのサポートシステムにアクセスしていた可能性を示唆する。

　ブラッドバリー氏は「Oktaは影響を受けた顧客と協力して調査を実施し、埋め込まれたセッショントークンの取り消しを含む顧客保護措置を講じた」と話す。

　Oktaは具体的な質問に回答せず、インシデントに関するブラッドバリー氏の投稿を参照するように述べている。

　インターネットセキュリティサービスを提供するCloudflareも、サイバー攻撃者がOktaのサポートシステムに侵入したことによる影響を受けた。サイバー攻撃者は、盗んだ認証トークンを使用してCloudflareのOkta環境にアクセスした。

　Cloudflareは2023年10月20日のブログ投稿で以下のように述べた（注5）。

　「私たちはこの侵害を食い止め、顧客情報やシステムに影響がなかったことを確認した」

　Cloudflareは2022年に実行されたOktaに対する複数の攻撃を回避している。これには、2022年1月にOktaのサポートエンジニアのシステムが侵害された攻撃や（注6）、同年8月に偽造ログインページを使用したフィッシング攻撃で3人の従業員が被害に遭った攻撃が含まれている（注7）。

　CloudflareのCSOであるグラント・ボウルジカス氏と、同社の他のセキュリティスタッフはブログ投稿で以下のようにコメントしている。

　「Oktaが当社に通知する前に、私たちは2023年10月18日の侵害についてOktaに連絡した。当社のケースでは、サイバー攻撃者はCloudflareの従業員が作成したサポートチケットからセッショントークンを乗っ取ることができたようだ」

　この他、同ブログ投稿では以下のようにも述べられている。

　「この巧妙な攻撃を利用して、サイバー攻撃者はOktaのプラットフォーム内で2つの異なるCloudflareの従業員アカウントを侵害していた。私たちはOktaからの通知を受ける24時間以上前にこの活動を内部で検出していた」

　BeyondTrustの調査によると、サイバー攻撃者はOktaのサポートパネルにアップロードした機密情報を含むサポートチケットからセッションCookieにアクセスしたという。この問題はBeyondTrustにおいて現在も進行中である。

　「HTTPアーカイブファイルがアップロードされてから30分以内に、サイバー攻撃者はBeyondTrustのOkta環境でアクションを試みた」（マイフレット氏）

　マイフレット氏によると、既定外のセキュリティポリシー設定によって、サイバー攻撃者によるOktaコンソールへのアクセスはブロックされた。その後、サイバー攻撃者は、Oktaの管理者APIを使用してバックドアを目的としたユーザーアカウントを作成したが、BeyondTrustのセキュリティチームによって迅速に無効化された。

　Oktaは「影響を受けた全ての顧客に通知した」と述べている。また、ブラッドバリー氏は「サポートケース管理システムは本番のOktaサービス環境とは別のものだ。本番環境は完全に稼働しており、影響を受けていない」と強調した。

　Oktaは知名度が高く、頻繁にサイバー攻撃の標的になっている。同社は2022年に、フィッシング攻撃（注8）や情報侵害（注9）、GitHubのソースコードの盗難という複数の被害に遭っている（注10）。

編集部注：　この記事は、一連の攻撃に関連するOkta環境の侵害についてCloudflareが共有した詳細を含む形で更新された。

（注1）Unauthorized Accessto Okta's Support Case Management System: Root Cause and Remediation（okta）
（注2）Okta customers’ IT staff duped by MFA reset swindle（Cybersecurity Dive）
（注3）Threat actors claim to have compromised MGM Resorts’ Okta environment（Cybersecurity Dive）
（注4）BeyondTrust Discovers Breach of Okta Support Unit（BeyondTrust）
（注5）How Cloudflare mitigated yet another Okta compromise（CLOUDFLARE）
（注6）Okta says 2.5% of customers breached, as Lapsus$ sows disorder（Cybersecurity Dive）
（注7）Cloudflare thwarts ‘sophisticated’ phishing attack strategy that bruised Twilio（Cybersecurity Dive）
（注8）Okta entangled by Twilio phishing attack（Cybersecurity Dive）
（注9）Okta says 2.5% of customers breached, as Lapsus$ sows disorder（Cybersecurity Dive）
（注10）Okta’s GitHub source code stolen, company downplays impact（Cybersecurity Dive）

原文へのリンク