Cloudflareで不正アクセスが発生 2023年9月のOktaへの侵害がきっかけか:セキュリティニュースアラート
Cloudflareは2023年11月に検出した脅威アクターに関する調査結果を報告した。脅威アクターは2023年9月に発生したOktaへの侵害で窃取されたアクセストークンとサービスアカウントの認証情報を使用してサーバに不正アクセスした。
Cloudflareは2024年2月2日(現地時間、以下同)、2023年11月に検出した脅威アクターに関する調査結果を発表した。
訂正のお知らせ
本文中に誤訳があり、誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました(2024年2月5日14時41分更新)。
Cloudflareを侵害した脅威アクター ユーザーへの影響は?
調査によると、この脅威アクターは2023年9月に発生したOktaへの侵害で取得した、ローテーションに失敗した認証情報を利用してCloudflareの「Atlassian」サーバにアクセスしていたという。脅威アクターがさまざまなリソースへのアクセスを試み、一部のドキュメントと限定されたソースコードにアクセスしたことが明らかになっている。
調査から判明した脅威アクターによる侵害の主なタイムラインは以下の通りだ。
- 2023年10月18日: Oktaのシステム侵害によって脅威アクターが一連の認証情報にアクセスした。これら資格情報は全てローテーションされる予定だったが、Cloudflareは侵害中に漏えいした認証情報のうち1つのサービストークンと3つのサービスアカウントをローテーションできなかった
- 2023年11月14日: 脅威アクターがCloudflareシステムの調査と偵察を開始した
- 2023年11月15日: 脅威アクターがCloudflareのAtlassianサーバへのアクセスを取得し、さまざまなリソースにアクセスしている
- 2023年11月16日: 脅威アクターが「Smartsheet」認証情報を使用してCloudflareユーザーのように見えるAtlassianアカウントを作成した。Smartsheetサービスアカウントが削除された場合でもAtlassian環境に永続的にアクセスできるようにしたものとみられる
- 2023年11月17〜20日: 脅威アクターがシステムのアクセスを休止した
- 2023年11月22日: 脅威アクターが「ScriptRunner for Jira」のプラグインを使って「Sliver Adversary Emulation Framework」をインストールした。これを使ってラテラルムーブメントを試み、ブラジルのサンパウロデータセンターにある非運用コンソールサーバにアクセスしようとして、拒否された
- 2023年11月23日: 脅威アクターが120のコードリポジトリーを閲覧した。同日、Cloudflareのセキュリティチームは脅威アクターの存在について警告を受け、初動対応を開始した
- 2023年11月24日: 全ての脅威アクターのアクセスと接続が終了した
脅威アクターは窃取した認証情報を使用してAtlassianサーバにアクセスし、一部のドキュメントと限定された量のソースコードにアクセスしたことが確認されている。侵害活動は限定的と評価されているが、Cloudflareはこのインシデントを非常に深刻に受け止めたとし、徹底した分析に取り組んだと説明している。
Cloudflareは「同社のユーザーのデータやシステムはこのインシデントの影響を受けていない」と主張している。アクセス制御やファイアウォールルール、ゼロトラストツールの利用によって脅威アクターのラテラルムーブメントは制限されており、関与するサービスはなく、グローバルネットワークシステムや構成に変更は加えられていないという。
関連記事
- SaaSのセキュリティ対策ってどうやるの? まずは周辺のリスクを整理しよう
SaaS事業者がサイバー攻撃の被害を受けてサービスを停止したり、ヒューマンエラーなどによって個人情報が漏えいしたりといったセキュリティ事案が発生している。安心、安全なSaaSを見極めてセキュリティ性を適切に評価するポイントを探ります。 - いざサイバーレジリエンスを実践 これだけはやっておきたい3つの対策
サイバーレジリエンスを詳細に解説してきた本連載。最終回はこれを高める14の手法のうち、これだけはやっておきたい3つの対策を紹介します。 - 住友化学はいかにして工場とオフィスのサイバーレジリエンスを強化しているか?
セキュリティインシデントにつながる異変に気付き、報告できる人を育てるにはどうすればいいのか。工場とオフィスでサイバーレジリエンスの強化を実践している企業が内情を語った。 - インシデント対応はとにかく“準備がものをいう” 注意すべき2つの観点
インシデント対応現場の知見をお届けする本連載。後編ではインシデントにおける「調査」「復旧」「準備」といった技術的対応の勘所を解説します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.