1Passwordがインシデントを報告 Oktaのサポートシステムに起因か：セキュリティニュースアラート

1Passwordは同社の使用するOktaインスタンスで不審なアクティビティーを検出した。Oktaのサポートシステムに起因するセキュリティインシデントが関連しているとみられる。

[後藤大地，有限会社オングス]

　パスワード管理ツールを提供する1Passwordは2023年10月23日（現地時間、以下同）、利用中の「Okta」のインスタンスにおいて不審な活動を検出したと報告した。

1PasswordはOktaインスタンスで不審なアクティビティーを検出した（出典：1PasswordのWebサイト）

1PasswordとOktaが共同調査を実施　不審なアクティビティーの原因は？

　1Passwordは2023年9月29日、Oktaのインスタンスで不審な活動を検出した。同社は従業員向けアプリの管理にOktaのIDaaS（Identity as a Service）製品を利用している。同社は不審な活動の検出直後に該当するアクティビティーを停止して調査を実施した。最終的に、2023年10月20日にOktaのサポートシステムに起因するセキュリティインシデントであったことを確認したという。

　1PasswordはOktaと協力して調査を実施し、最終的にWebブラウザとWebサイトの間での通信を記録するJSON形式のアーカイブ（HARファイル）に含まれるセッションデータが窃取されたことで発生したセキュリティインシデントである可能性が高いと説明する。

　1PasswordはOktaのサポート業務も担っており、OktaのサポートポータルサイトにHARファイルをアップロードすることがある。HARファイルにはセッションデータが含まれていることから、サイバー攻撃者が何らかの方法でこのファイルを入手し、そのデータを悪用してOktaの管理ポータルサイトへのアクセス権を取得したものとみられる。

　なお、サイバー攻撃者は以下の行動を取ったことが報告によって明らかになった。

• ITチームメンバーのユーザーダッシュボードにアクセスを試みた（これはOktaに阻止されている）
• Google本番環境に関連付けられた既存のIdPをアップデート
• IdPを有効化
• 管理ユーザーレポートを要求

　1Passwordは分析を通じて、サイバー攻撃者の活動を「初期偵察」の段階だったと推測し、「これ以外の活動は観測されていない」と説明している。

　Oktaは2023年10月20日、「Tracking Unauthorized Access to Okta's Support System | Okta Security」において内部のサポートシステムが侵害されたことを報告しており、1Passwordも本件の原因がOktaにあったと説明する。また、1Passwordは「Copy of Okta Incident Report Final」で今回のセキュリティインシデントに関する報告書を公開している。