Oktaの顧客を狙った大規模なサイバー攻撃 従業員のアカウント侵害が引き金か:セキュリティニュースアラート
Oktaは、1PasswordとBeyondTrustの報告を受け、2023年9月28日〜10月17日にかけて134の顧客がサイバー攻撃者による不正アクセスの影響を受けたことを発表した。
Oktaは2023年11月3日(現地時間、以下同)、同年10月19日に通知したサイバーセキュリティインシデントに関する詳細情報を公表した。
同サイバーセキュリティインシデントは2023年9月29日に1PasswordがOktaサポートに対して不審なアクティビティーを報告したことに端を発している。当初、Oktaは1Passwordがマルウェアまたはフィッシングの被害にあった可能性を考えていたが、2023年10月2日にはBeyondTrustからも同様に不審なアクティビティーに関する報告を受け、最終的に今回の報告に至った。
Okta顧客を狙ったサイバー攻撃 従業員のGoogleアカウント侵害が引き金か
Oktaは「2023年9月28日〜10月17日にかけてサイバー攻撃者による不正アクセスを受けていたことが判明した」と説明している。調査によると、サイバー攻撃者は、Oktaのカスタマサポートシステム内のファイルに不正にアクセスし、134の顧客が影響を受けたという。サイバー攻撃者は5人の顧客の正規Oktaセッションをハイジャックできたとされている。
Oktaカスタマサポートシステムへの不正アクセスにはシステムに保存されているサービスアカウントが悪用されたことも判明している。このサービスアカウントにはカスタマサポートケースを表示および更新する権限が付与されている。このアカウントが従業員の個人用「Google アカウント」に保存されており、従業員のGoogleアカウントまたはデバイスが侵害されたことが今回のサイバーセキュリティインシデントの発端になった可能性が高いと分析されている。
Oktaは一連のサイバーセキュリティインシデントを受けて次のタスクに取り組んだことを発表した。
- 侵害されたカスタマサポートシステムのサービスアカウントの無効化
- Oktaが管理するノートPCで個人用「Googleプロファイル」を使って「Google Chrome」にサインインできないように「Chrome Enterprise」の構成オプションを実装
- カスタマサポートシステム用に追加の検出ルールと監視ルールを導入
- ネットワークの場所に基づくOkta管理者セッショントークのバインドを実施
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 1Passwordがインシデントを報告 Oktaのサポートシステムに起因か
1Passwordは同社の使用するOktaインスタンスで不審なアクティビティーを検出した。Oktaのサポートシステムに起因するセキュリティインシデントが関連しているとみられる。 - 米国の巨大ホテル企業が被害に遭った、Oktaユーザーを狙った“古くて新しい”攻撃とは?
MGM Resortsが被害に遭ったサイバー攻撃には、脅威グループ「AlphV」および脅威グループ「Muddled Libra」が関与しているものとみられる。彼らはどのような手法を使ったのか。 - Oktaがゼロトラストの年次調査を公開 日本企業の遅れが目立つ結果に
Okta Japanは企業におけるゼロトラストセキュリティ取り組み状況を調査した報告書を発表した。日本企業の取り組みの遅れが目立つ結果になった。 - Oktaの顧客を狙うソーシャルエンジニアリング攻撃 背景には複数の脅威グループ
MGM ResortsなどOktaの顧客を狙ったサイバー攻撃の背後には複数の脅威グループが連携した形跡が見られている。