Cloudflareは2023年11月に検出した脅威アクターに関する調査結果を報告した。脅威アクターは2023年9月に発生したOktaへの侵害で窃取されたアクセストークンとサービスアカウントの認証情報を使用してサーバに不正アクセスした。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Cloudflareは2024年2月2日(現地時間、以下同)、2023年11月に検出した脅威アクターに関する調査結果を発表した。
本文中に誤訳があり、誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました(2024年2月5日14時41分更新)。
調査によると、この脅威アクターは2023年9月に発生したOktaへの侵害で取得した、ローテーションに失敗した認証情報を利用してCloudflareの「Atlassian」サーバにアクセスしていたという。脅威アクターがさまざまなリソースへのアクセスを試み、一部のドキュメントと限定されたソースコードにアクセスしたことが明らかになっている。
調査から判明した脅威アクターによる侵害の主なタイムラインは以下の通りだ。
脅威アクターは窃取した認証情報を使用してAtlassianサーバにアクセスし、一部のドキュメントと限定された量のソースコードにアクセスしたことが確認されている。侵害活動は限定的と評価されているが、Cloudflareはこのインシデントを非常に深刻に受け止めたとし、徹底した分析に取り組んだと説明している。
Cloudflareは「同社のユーザーのデータやシステムはこのインシデントの影響を受けていない」と主張している。アクセス制御やファイアウォールルール、ゼロトラストツールの利用によって脅威アクターのラテラルムーブメントは制限されており、関与するサービスはなく、グローバルネットワークシステムや構成に変更は加えられていないという。
Copyright © ITmedia, Inc. All Rights Reserved.