Okta環境で発生したデータ漏えい 当初の予測より漏えい範囲は甚大か：セキュリティニュースアラート

Oktaは2023年10月に発生した顧客データ漏えいについて新たな情報を公開した。窃取されたデータが想定よりも大きかったという。

[後藤大地，有限会社オングス]

　Oktaは2023年11月29日（現地時間、以下同）、同年10月に発生したインシデントに関する新しい情報を公開した。

　2023年10月にOktaのカスタマーサポート管理システムがサイバー攻撃を受け、大規模なインシデントが発生した。同社は脅威アクターの行動を再度分析した結果、窃取されたレポートのサイズが当初の分析結果よりも大きいことを明らかにした。

Oktaは2023年10月に発生したインシデントに関する新しい情報を公開した（出典：OktaのWebサイト）

漏えいデータは当初の予測より大規模か　推奨されるアクション

　当初の調査では、脅威アクターが窃取したレポートには一部の顧客データのみが含まれるとされていたが、再度調査した結果、全てのOktaのカスタマーサポートシステムのユーザー名と電子メールアドレスが含まれていることが明らかになった。

　「Okta Workforce Identity Cloud」および「Okta Customer Identity Solution」の顧客全員が影響を受ける事態となった。ただし、「FedRamp High」および「DoD IL4」環境を使っていた顧客は影響を受けてない他、「Okta CIC（Auth0）」のサポートケース管理システムもこのインシデントの影響を受けていないとされている。

　この他、報告された主な内容は以下の通りだ。

• 脅威アクターは2023年9月28日15時6分にOktaのカスタマサポートシステムの各ユーザーに関する、作成日時や最後のログイン日時、氏名、ユーザー名、電子メールアドレス、会社名、ユーザータイプ、住所、最後にパスワード変更またはリセットされた日時、肩書とその説明、電話番号、携帯番号、タイムゾーン、SAML Federation IDなどのデータを窃取した
• 窃取対象となった上記のデータは、その大半は空白になっていた他、ユーザーのアカウント情報や機密個人データは含まれていない。窃取対象となったデータの99.6％について、記録されていた連絡先は氏名と電子メールアドレスのみだった
• 窃取された上記データが積極的に悪用されているという直接的な証拠は見つかっていない

　発表時点で窃取されたデータが積極的に悪用された証拠は見つかっていないとされているが、Oktaは脅威アクターが窃取したデータを使ってフィッシング詐欺やソーシャルエンジニアリング攻撃を実施する可能性がある点について言及し、多要素認証（MFA）がアクセス保護にとって重要になると説明する。

　Oktaは管理者を標的とする潜在的な攻撃に対応するために、全ての顧客に対して以下の対策を推奨する。

• 最低限、管理アクセスにMFAを使用する。全ての管理アプリケーションへのアクセスに対するフィッシング耐性を強化する
• 管理者が異なるASN（Autonomous System Number）のIPアドレスからセッションを再利用する場合に再認証を要求する早期アクセス機能を有効化する
• 管理セッションタイムアウトを活用する。この機能は2023年11月29日からプレビュー向けに導入され、2023年12月4日に本番環境向けの早期アクセス機能として利用可能になる

　Oktaは第三者のデジタルフォレンジック会社と協力してこうした新しい発見を検証する取り組みを継続しており、作業が完了次第、結果を報告するとしている。