多要素認証などクラウドの統合認証基盤サービスを手掛ける米Oktaは3月23日(現地時間)、20日にサイバー犯罪グループLapsus$が投稿したOktaの内部システムの画面のスクリーンショットについて説明した。
Oktaは22日には、Lapsus$が投稿したスクリーンショットが自社のものであることを認め、これが1月に発生したサイバー攻撃に起因するものだと説明していた。
Oktaのデビッド・ブラッドベリーCSO(最高セキュリティ責任者)は、1月にシステムに侵入されてからLapsus$がスクリーンショットを投稿するまでの経緯を時系列で説明した。
侵入されたのはOktaではなく、カスタマーサポートを外注している米Sitel Group傘下のSYKESという請負企業のサポートエンジニアのノートPCだったという。「ここで起きたシナリオは、カフェでPCから離れた事例に似ている。攻撃者はこの場合、実質的にPCの前に座り、マウスとキーボードを利用している」とブラッドベリー氏は指摘する。そのような状態から、リモートデスクトップのセッションで一連のスクリーンショットを撮られたという。
【修正履歴:2022年3月25日午前10時50分 攻撃者による侵入状況の説明について、正確でない表現があったため修正しました】
サポートエンジニアのログイン権限は限られているので、クリティカルなデータにはアクセスできないとブラッドベリー氏は強調する。それでも、同社顧客の約2.5%に当たる366社が影響を受けた可能性があるという。可能性のある顧客には既に個別にメールで連絡済みだ。
Oktaは1月20日に不正侵入のアラートを受信してすぐにサポートエンジニアのアカウントを停止するなど迅速に対処し、Sitelにも連絡した。Sitelは21日に外部のフォレンジック調査企業に調査を依頼したが、その報告が上がってきたのは3月17日だった。
ブラッドベリー氏は今回の事件での大きな被害はなく、「セキュリティへの取り組みを強化するのに役立つだけだ」と語った。
Lapsus$は米Microsoftのソースコードも盗んだとしてTelegramに画像を投稿していた。Microsoftは22日、実質的な被害はなかったとして、こうした攻撃に対する対策を紹介した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR