Cloudflareで不正アクセスが発生 2023年9月のOktaへの侵害がきっかけか：セキュリティニュースアラート

Cloudflareは2023年11月に検出した脅威アクターに関する調査結果を報告した。脅威アクターは2023年9月に発生したOktaへの侵害で窃取されたアクセストークンとサービスアカウントの認証情報を使用してサーバに不正アクセスした。

[後藤大地，有限会社オングス]

　Cloudflareは2024年2月2日（現地時間、以下同）、2023年11月に検出した脅威アクターに関する調査結果を発表した。

訂正のお知らせ

本文中に誤訳があり、誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました（2024年2月5日14時41分更新）。

Cloudflareは2023年11月に検出した脅威アクターに関する調査結果を発表した（出典：CloudflareのWebサイト）

Cloudflareを侵害した脅威アクター　ユーザーへの影響は？

　調査によると、この脅威アクターは2023年9月に発生したOktaへの侵害で取得した、ローテーションに失敗した認証情報を利用してCloudflareの「Atlassian」サーバにアクセスしていたという。脅威アクターがさまざまなリソースへのアクセスを試み、一部のドキュメントと限定されたソースコードにアクセスしたことが明らかになっている。

　調査から判明した脅威アクターによる侵害の主なタイムラインは以下の通りだ。

• 2023年10月18日：　Oktaのシステム侵害によって脅威アクターが一連の認証情報にアクセスした。これら資格情報は全てローテーションされる予定だったが、Cloudflareは侵害中に漏えいした認証情報のうち1つのサービストークンと3つのサービスアカウントをローテーションできなかった
• 2023年11月14日：　脅威アクターがCloudflareシステムの調査と偵察を開始した
• 2023年11月15日：　脅威アクターがCloudflareのAtlassianサーバへのアクセスを取得し、さまざまなリソースにアクセスしている
• 2023年11月16日：　脅威アクターが「Smartsheet」認証情報を使用してCloudflareユーザーのように見えるAtlassianアカウントを作成した。Smartsheetサービスアカウントが削除された場合でもAtlassian環境に永続的にアクセスできるようにしたものとみられる
• 2023年11月17〜20日：　脅威アクターがシステムのアクセスを休止した
• 2023年11月22日：　脅威アクターが「ScriptRunner for Jira」のプラグインを使って「Sliver Adversary Emulation Framework」をインストールした。これを使ってラテラルムーブメントを試み、ブラジルのサンパウロデータセンターにある非運用コンソールサーバにアクセスしようとして、拒否された
• 2023年11月23日：　脅威アクターが120のコードリポジトリーを閲覧した。同日、Cloudflareのセキュリティチームは脅威アクターの存在について警告を受け、初動対応を開始した
• 2023年11月24日：　全ての脅威アクターのアクセスと接続が終了した

　脅威アクターは窃取した認証情報を使用してAtlassianサーバにアクセスし、一部のドキュメントと限定された量のソースコードにアクセスしたことが確認されている。侵害活動は限定的と評価されているが、Cloudflareはこのインシデントを非常に深刻に受け止めたとし、徹底した分析に取り組んだと説明している。

　Cloudflareは「同社のユーザーのデータやシステムはこのインシデントの影響を受けていない」と主張している。アクセス制御やファイアウォールルール、ゼロトラストツールの利用によって脅威アクターのラテラルムーブメントは制限されており、関与するサービスはなく、グローバルネットワークシステムや構成に変更は加えられていないという。