Okta環境を狙うサイバー攻撃をセキュリティ企業2社はどう回避したか？：Cybersecurity Dive

BeyondTrustとCloudflareは2023年10月に発生した「Okta」環境に対する侵害について、サイバー攻撃者がシステムや顧客に損害を与える前に食い止めたという。

[Matt Kapko，Cybersecurity Dive]

　サイバーセキュリティサービスを営むBeyondTrustとCloudflareのセキュリティリーダーは2023年10月に発生した「Okta」環境に対する侵害について（注1）、サイバー攻撃者がシステムや顧客に損害を与える前に食い止めたと確信している。しかし、経営陣がこれらの攻撃について抱く懸念には未解決の部分が多く残っている。

　BeyondTrustとCloudflareが、Oktaのサポートスタッフに送ったログファイルには、サイバー攻撃者がOktaのサポートシステムの管理者アカウントから盗んだセッショントークンが含まれていた。サイバー攻撃者はこれらのセッションを使用して、認証されたログインを介さずに顧客の管理アカウントにアクセスした。その結果、警報を発する高度なセキュリティイベントが起こった。

被害の全体像は明らかになっていない

　BeyondTrustやCloudflare、1Passwordはサイバー攻撃を検出して阻止したが、セキュリティに重点を置いていない他の企業で今回の攻撃がどのように進行したかについての懸念が残る。Oktaは2023年10月に1万8400社以上の企業顧客を抱えていると発表した。

　サイバー攻撃者が社内のOkta管理者アカウントにアクセスしようとしていることを、BeyondTrustが発見してから、Oktaが侵害の原因である旨を公表するまでに約3週間の空白があったことは依然として懸念材料だ。

　Okta環境に対する侵害のタイムラインからは、サポートシステムが数週間にわたって侵害されていた可能性が示唆されている。1Passwordがインシデントを確認したのは2023年9月29日（現地時間、以下同）であり（注2）、Cloudflareで同様のインシデントが発生したのは同年10月18日だった。

　BeyondTrustのCTO（最高技術責任者）であるマーク・マイフェレット氏は以下のように述べた。

　「仮に彼らが問題が起きていることを教えてくれなかったら、彼らの知らないところで何かが起こっているのではないかと非常に心配だった。問題が確認されるまで私は根本原因を理解しようと必死だった」

　Oktaは2023年10月20日に、サイバー攻撃者が盗まれた認証情報を使ってサポートシステムの管理者アカウントにアクセスしたことを公式に確認した。同社はサイバー攻撃者がいつどのようにしてアクセスしたのか、どれだけの顧客が影響を受けているのか、また被害の程度についてはまだ明らかにしていない。

　Oktaはまた、米国証券取引委員会にこの攻撃を正式に開示していない。同社は複数回のコメントの要請にも応じていない。

下流の被害者に関する懸念

　BeyondTrustとCloudflareは影響を受けた他の組織が自社と同等の専門知識を持っていない場合に備えて、自社で観測した内容と、さらなる侵害から自分たちのシステムをどのように防御したかを共有した。デフォルトの制御では、この種の攻撃について組織に警告を発することはできない。

　CloudflareのCSO（最高戦略責任者）であるグラント・ブーザイカス氏は「Cybersecurity Dive」に対して以下のように語っている。

　「この警告は東部時間の2023年10月18日午前4時に最初に届いた」

　ブーザイカス氏によると、サプライチェーンとサードパーティーのリスクに関する評価は、組織にとって非常に重要とのことだ。なぜならば、これらが下流の組織に対する攻撃の経路となるためだ。

　「私はアクセスに関するリスクを組織にとって最も高いリスクと位置付けている。多くの侵害はアクセスまたは環境への足がかりを原因としており、組織はこのリスクに注意を払い、適切なコントロールがなされているか確認する必要がある」（ブーザイカス氏）

　ブーザイカス氏は「保護や検出、対応が重要だ。しかしこのシナリオでは、私たちが持っていたコントロールの幾つかは、アクセスポイントごとの検証と環境への変更に対する検証だった」と述べる。

　BeyondTrustとCloudflareは、ゼロトラストのコンセプトや厳格な多要素認証の義務付け、検出ツールなど、彼らが導入したデフォルト以外のコントロールが、システムへの影響を最小限に抑えたと評価している。

　「こうした状況に立ち向かうのは大変なことだ。なぜなら、詳細と微妙なニュアンスの全てを正確に把握しなければならない一方で、それらは私たちが話している技術の1つの分野にすぎないだけで、他にも多くの関連事項があるかもしれないからだ」とマイフレット氏は述べた。

　「Oktaをはじめとするアイデンティティーインフラストラクチャは、それらが簡易化を約束した対象と同程度に複雑だ」（マイフレット氏）

Oktaにおける緊急性と透明性の欠如

　BeyondTrust（注3）やCloudflare（注4）、1Password（注5）が実施した一連のブログ投稿は、情報の欠如を埋めるために役立った。

　OktaのCSO（最高戦略責任者）であるデビッド・ブラッドバリー氏のブログ投稿は、Oktaのサポートシステムへの侵入に関する詳細はほとんど提供せず（注6）、代わりに顧客がサポートスタッフと共有する前にHTTPアーカイブファイルからクッキーやセッショントークンを削除する必要性を強調していた。

　Oktaにおける透明性と緊急性の欠如は、ブーザイカス氏とマイフレット氏をいまだに悩ませている。

　「問題があれば、迅速に修正し、問題を解決するようにしてほしい。彼らは、これに対応できるはずだ」とブーザイカス氏は述べた。

　ブーザイカス氏は「Oktaは世界で最も重要な組織の幾つかにアイデンティティーを提供する信頼できるプロバイダーだ。この問題を真剣に受け止め、同じような侵害が二度と起こらないように確認することで、問題の重大性を示す必要がある」と話している。

　ブーザイカス氏によると、CloudflareはOktaとの関係を評価し、顧客のために防御を強化するよう全ベンダーに働きかけているという。

　Cloudflareはこうしたリスクを熟知しており、2022年に、Oktaに関連する複数の攻撃を回避した。これには、同年1月にOktaのサポートエンジニアのシステムが侵害された事件や（注7）、同年8月にCloudflareのOkta環境のログインページをよそおったフィッシング攻撃により3人の従業員が被害に遭った事件が含まれている（注8）。

　CloudflareとBeyondTrustのセキュリティリーダーは、Oktaに対する信頼を完全に失ったわけではないが、今回の攻撃をきっかけに、緊張の兆しを見せている。1Passwordは質問への回答を拒否し、代わりにブログ投稿とインシデントレポートを参照するように述べた（注9）。

　マイフレット氏は次のように述べている。

　「誰にとっても最も重要なことは、常に透明性を保つことだ。このような事件はつらいものだが、その内容を正直に話さない限り、学びや成長の機会はない。私たちも他の人たちと同じように、セキュリティ上の不安を抱えている。一方で、正しいことを行い、可能な限り率直であろうとしている」

（注1）Okta attacked again, this time hitting its support system（Cybersecurity Dive）
（注2）1Password caught in Okta breach, impacting employee-facing apps（Cybersecurity Dive）
（注3）BeyondTrust Discovers Breach of Okta Support Unit（BeyondTrust）
（注4）How Cloudflare mitigated yet another Okta compromise（CLOUDFLARE）
（注5）Okta Support System incident and 1Password（1Password）
（注6）Unauthorized Access to Okta's Support Case Management System: Root Cause and Remediation（okta）
（注7）Okta says 2.5% of customers breached, as Lapsus$ sows disorder（Cybersecurity Dive）
（注8）Cloudflare thwarts ‘sophisticated’ phishing attack strategy that bruised Twilio（Cybersecurity Dive）
（注9）Security incident report（1Password）

原文へのリンク