本当にノーダメージ? サイバー攻撃がOktaの業績に与えた影響とは:Cybersecurity Dive
2023年9月に発生したサイバー攻撃によってOktaの評判には大きな傷が付いたが、同社の幹部は「当社の業績に目立った影響はない」と述べている。
2023年9月に発生したサイバー攻撃によってOktaの顧客サポートシステムの全クライアントの情報が流出したが(注1)。だが、同社の幹部は「当社の業績に目立った影響はない」と述べた。
本当にノーダメージ? サイバー攻撃がOktaの業績に与えた影響とは
Oktaのトッド・マッキノン氏(共同設立者兼CEO)は、2024年5月29日(現地時間、以下同)に実施された同社の2025年度の第1四半期に関する決算説明会で「当社の事業への影響を定量化することは困難だが、分析によると、当社の業績への影響は最小限にとどめられている」と述べた(注2)。同社は、攻撃を受けてから2回目の四半期を乗り越えた。
Oktaは「製品と社内業務のセキュリティ強化において有意義な進歩を遂げたが、さらなる投資と作業が必要だ」と述べた。
2023年に発生した著名な顧客環境に対する攻撃の後に起きたサポートシステムの侵害に対応するために(注3)(注4)、Oktaは製品開発を遅らせ、セキュリティを最優先事項にした(注5)。
同社の評判は傷付いたが、ビジネスは好調だ。
Oktaのブレット・ティッグ氏(最高財務責任者)は、決算説明会で「私たちは、セキュリティインシデントに関連する影響があったという定量的な証拠を見つけるのに苦労している。もちろん、見逃している取引がある可能性は常に存在する」と話した。
Oktaのリーダーたちは慎重な姿勢を維持しつつも、企業のインフラを強化し、製品全体にセキュア・バイ・デザインの原則を導入し、ベストプラクティスを推進することで、業績は改善するだろうと楽観視している。同社は、社外のサイバーセキュリティの課題に対処するために今後5年間で5000万ドルを投資すると発表した。
サイバーセキュリティ事業を営むBeyondTrustのジェームズ・モード氏(リサーチディレクター)は、電子メールで次のように伝えた。
「最近の侵害事件以来、Oktaは製品のセキュリティを大幅に改善している。ただし、それにはリスクもある。これらの機能がデフォルトで有効になっていなかったり、特定のプランでしか利用できなかったり、新しいインスタンスでしか有効になっていなかったりすることだ」
BeyondTrustは(注6)、Cloudflareおよび1Passwordとともに(注7)(注8)、Oktaのサポートポータルに対する攻撃の下流の被害者として早期に名乗り出た。
マッキノン氏は「Oktaがサイバー攻撃を過去のものとし、財務ガイダンスから潜在的な影響を取り除く自信を得るまでには、まだ時間がかかるだろう」と述べた。
「顧客離れや成長の鈍化という形で潜在的な影響が生じる可能性はあるが、それはまだOktaの業績には表れていない。顧客層が厚く、年間契約額も大きいため、1回から2回の四半期で指標に関する判断を行うのは難しい」(ティッグ氏)
Oktaは、150の新規顧客の純増を含む1万9100社の顧客がいる状態で、2024年4月30日に終了した2025年度の第1四半期を終えた。総顧客数は前年同期比で6%増加した。
Oktaは、前年同期比19%増の6億1700万ドルの売上高に対し、四半期の純損失として4000万ドルを計上した。Oktaは2017年4月に上場して以来、四半期の利益を報告していない。
(注1)All Okta support system customers caught in previously disclosed breach(Cybersecurity Dive)
(注2)Financial News Releases(Okta)
(注3)Okta customers’ IT staff duped by MFA reset swindle(Cybersecurity Dive)
(注4)Threat actors claim to have compromised MGM Resorts’ Okta environment(Cybersecurity Dive)
(注5)Okta, with a bruised reputation, rethinks security from the top down(Cybersecurity Dive)
(注6)BeyondTrust, Cloudflare averted Okta attacks thanks to security chops(Cybersecurity Dive)
(注7)Cloudflare hit by follow-on attack from previous Okta breach(Cybersecurity Dive)
(注8)1Password caught in Okta breach, impacting employee-facing apps(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
- SOCチームの業務に変革を Splunkのセキュリティ製品最新アップデート総まとめ
Splunkはラスベガスで開催中の大規模カンファレンス「.conf24」で、SOCチームの業務を変革する複数の新製品および製品アップデートを公開した。本稿は現地から最新情報をお届けする。 - Cisco買収の影響はいかに? Splunkのトップが今後のロードマップを明言
Splunkはラスベガスで大規模カンファレンス「.conf24」を開催している。同イベントではCiscoによる買収の影響や、Splunk製品全体に組み込まれるAIソリューションについてアナウンスがあった。 - Windows OSにインストールされている全てのPHPに影響 緊急度「Critical」の脆弱性が発覚
PHPに重大なセキュリティ脆弱性が存在することが発覚した。この欠陥はWindows OSにインストールされている全てのバージョンのPHPに影響する。 - なぜ日本だけサードパーティー侵害が突出するのか? その背景にある根深い慣習
ランサムウェア激化に伴い、関連会社を含めたサプライチェーンのセキュリティ確保は急務となっている。しかし日本企業にはこれを阻む幾つかのハードルがある。それは一体何か。