ニュース
管理者権限を持つOktaユーザーを狙うサイバー攻撃が見つかる 推奨される予防策は?:セキュリティニュースアラート
Oktaは管理者権限を持つユーザーを標的にしたソーシャルエンジニアリング攻撃を確認した。脅威アクターはOktaの顧客テナントで高い権限を持っており、MFAのリセットを要求できる。
Oktaは2023年9月1日(現地時間)、ITサービスデスク担当者を標的としたソーシャルエンジニアリングを使ったサイバー攻撃を観測したと報じた。脅威アクターはOktaの顧客テナントで高い権限を取得し、ユーザーの多要素認証(MFA)のリセットを要求できるとしている。
高権限のOktaユーザーを狙うサイバー攻撃に注意 推奨される予防策
Oktaが報告している主な内容は以下の通りだ。
- 脅威アクターは特権ユーザーアカウントのパスワードを知っているか、「Active Directory」を介して委任認証フローを操作して標的アカウントの全てのMFAのリセットを要求できる状態にあると考えられる。Oktaのユーザーに関して脅威アクターは管理者権限を付与されたユーザーを標的としている
- 脅威アクターは匿名化されたプロキシーサービスと以前ユーザーアカウントに関連付けられていないIPとデバイスを使って侵害されたアカウントにアクセスしている
- 窃取された管理者権限アカウントは他のアカウントに高い権限を割り当てたり、既存の管理者アカウントに登録されている認証機能をリセットしたりするために使われている
- 脅威アクターは偽装アプリとして機能するために2番目のIDプロバイダーを設定していた。このIDプロバイダーも脅威アクターによって制御されている
Oktaはこれらの観測結果を取り上げ、管理者アカウントを保護することや制限することの重要さを指摘しつつ以下の推奨事項を挙げている。
- 「Okta FastPass」とFIDO2 WebAuthnの認証フローをフィッシング耐性のある認証で実施する
- 「Admin Console」を含む特権アプリケーションにアクセスするための認証ポリシーを構成してサインインの度に再認証を要求する
- セルフサービスリカバリーを利用する場合は使用可能な最も強い認証ソフトを使ってリカバリーを開始し、リカバリーフロー信頼できるネットワークに制限する
- ヘルプデスク担当者によるリモート監視および管理(RMM)ツールの使用を確認して統合し、他の全てのRRMツールの使用をブロックする
- ヘルプデスク担当者がユーザーのIDプロバイダーを検証するためにMFAチャレンジを発行するビジュアル検証の組み合わせを使ってヘルプデスクのID検証プロセスを強化する
- 管理者アカウント用の特権アクセス管理(PAM)を実装して使用する
- 専用に管理ポリシーを適用し、管理者アカウントが管理対象デバイスからフィッシング耐性のある多要素認証(Okta FastPass、FIDO2 WebAuthn)を介してサインインする必要があるようにする
観測されているサイバー攻撃は予防可能とされており、Oktaが推奨しているアドバイスの適用を検討することが望まれている。
関連記事
- 「セキュリティ理解ゼロ」の経営層から予算を引き出すには? エンドポイント対策の現在地
企業規模の大小を問わずサイバー攻撃の標的となる可能性が増す一方で、経営層のセキュリティ対策への理解が十分とはいえない企業が多いのが実態だ。予算を確保するために「セキュリティ理解ゼロ」の経営層をいかに説得すべきか。現在押さえるべきエンドポイント対策と併せて、サイバーディフェンス研究所の名和利男氏の提言を紹介する。 - データ暗号化は“時代遅れ”? ランサムウェアグループの攻撃手法に起きた変化とは
Areteが2023年上半期のサイバーセキュリティ動向を報告した。身代金やランサムウェアグループ、攻撃手法などの変化を指摘し、講じるべき対策について解説した。 - インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。 - なぜ経営者にリスクが正しく伝わらないのか? セキュリティリーダーに必要な“コミュ力”を磨こう
セキュリティやリスク責任者がデータに関するリスクを意思決定者に正しく伝えるためにすべきことは何か。コミュニケーションが効果的に機能するための3つのステップを紹介しよう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.