1Passwordがインシデントを報告 Oktaのサポートシステムに起因か:セキュリティニュースアラート
1Passwordは同社の使用するOktaインスタンスで不審なアクティビティーを検出した。Oktaのサポートシステムに起因するセキュリティインシデントが関連しているとみられる。
パスワード管理ツールを提供する1Passwordは2023年10月23日(現地時間、以下同)、利用中の「Okta」のインスタンスにおいて不審な活動を検出したと報告した。
1PasswordとOktaが共同調査を実施 不審なアクティビティーの原因は?
1Passwordは2023年9月29日、Oktaのインスタンスで不審な活動を検出した。同社は従業員向けアプリの管理にOktaのIDaaS(Identity as a Service)製品を利用している。同社は不審な活動の検出直後に該当するアクティビティーを停止して調査を実施した。最終的に、2023年10月20日にOktaのサポートシステムに起因するセキュリティインシデントであったことを確認したという。
1PasswordはOktaと協力して調査を実施し、最終的にWebブラウザとWebサイトの間での通信を記録するJSON形式のアーカイブ(HARファイル)に含まれるセッションデータが窃取されたことで発生したセキュリティインシデントである可能性が高いと説明する。
1PasswordはOktaのサポート業務も担っており、OktaのサポートポータルサイトにHARファイルをアップロードすることがある。HARファイルにはセッションデータが含まれていることから、サイバー攻撃者が何らかの方法でこのファイルを入手し、そのデータを悪用してOktaの管理ポータルサイトへのアクセス権を取得したものとみられる。
なお、サイバー攻撃者は以下の行動を取ったことが報告によって明らかになった。
- ITチームメンバーのユーザーダッシュボードにアクセスを試みた(これはOktaに阻止されている)
- Google本番環境に関連付けられた既存のIdPをアップデート
- IdPを有効化
- 管理ユーザーレポートを要求
1Passwordは分析を通じて、サイバー攻撃者の活動を「初期偵察」の段階だったと推測し、「これ以外の活動は観測されていない」と説明している。
Oktaは2023年10月20日、「Tracking Unauthorized Access to Okta's Support System | Okta Security」において内部のサポートシステムが侵害されたことを報告しており、1Passwordも本件の原因がOktaにあったと説明する。また、1Passwordは「Copy of Okta Incident Report Final」で今回のセキュリティインシデントに関する報告書を公開している。
関連記事
- 米国の巨大ホテル企業が被害に遭った、Oktaユーザーを狙った“古くて新しい”攻撃とは?
MGM Resortsが被害に遭ったサイバー攻撃には、脅威グループ「AlphV」および脅威グループ「Muddled Libra」が関与しているものとみられる。彼らはどのような手法を使ったのか。 - 「パスワードとIDの認証は破綻した仕組みだ」パスワードレスの未来はまだ遠い?
パスワードによる認証は最もメジャーなセキュリティ対策と言っても良いだろう。だが、この方法は根本的な欠陥を抱えている“破綻した仕組み”だ。 - Oktaがゼロトラストの年次調査を公開 日本企業の遅れが目立つ結果に
Okta Japanは企業におけるゼロトラストセキュリティ取り組み状況を調査した報告書を発表した。日本企業の取り組みの遅れが目立つ結果になった。 - セブン銀行、ID管理の効率化に向けてSailPoint Identity Security Cloudを導入
セブン銀行は従業員のアイデンティティー管理の効率化とセキュリティ強化のため「SailPoint Identity Security Cloud」を導入した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.