Lapsus$に侵入されたOkta、「影響を受けた顧客は366社」 経緯を説明
サイバー犯罪グループLapsus$に侵入されたクラウド統合認証基盤サービスのOktaが、侵入経緯などを説明した。侵入口はサポートエンジニアのノートPCだった。大きな被害はなかったが、366の顧客が影響を受けた可能性があるとしている。
多要素認証などクラウドの統合認証基盤サービスを手掛ける米Oktaは3月23日(現地時間)、20日にサイバー犯罪グループLapsus$が投稿したOktaの内部システムの画面のスクリーンショットについて説明した。
Oktaは22日には、Lapsus$が投稿したスクリーンショットが自社のものであることを認め、これが1月に発生したサイバー攻撃に起因するものだと説明していた。
Oktaのデビッド・ブラッドベリーCSO(最高セキュリティ責任者)は、1月にシステムに侵入されてからLapsus$がスクリーンショットを投稿するまでの経緯を時系列で説明した。
侵入されたのはOktaではなく、カスタマーサポートを外注している米Sitel Group傘下のSYKESという請負企業のサポートエンジニアのノートPCだったという。「ここで起きたシナリオは、カフェでPCから離れた事例に似ている。攻撃者はこの場合、実質的にPCの前に座り、マウスとキーボードを利用している」とブラッドベリー氏は指摘する。そのような状態から、リモートデスクトップのセッションで一連のスクリーンショットを撮られたという。
【修正履歴:2022年3月25日午前10時50分 攻撃者による侵入状況の説明について、正確でない表現があったため修正しました】
サポートエンジニアのログイン権限は限られているので、クリティカルなデータにはアクセスできないとブラッドベリー氏は強調する。それでも、同社顧客の約2.5%に当たる366社が影響を受けた可能性があるという。可能性のある顧客には既に個別にメールで連絡済みだ。
Oktaは1月20日に不正侵入のアラートを受信してすぐにサポートエンジニアのアカウントを停止するなど迅速に対処し、Sitelにも連絡した。Sitelは21日に外部のフォレンジック調査企業に調査を依頼したが、その報告が上がってきたのは3月17日だった。
ブラッドベリー氏は今回の事件での大きな被害はなく、「セキュリティへの取り組みを強化するのに役立つだけだ」と語った。
Lapsus$は米Microsoftのソースコードも盗んだとしてTelegramに画像を投稿していた。Microsoftは22日、実質的な被害はなかったとして、こうした攻撃に対する対策を紹介した。
関連記事
- Microsoft、ハッキンググループLapsus$の手口や対策を公開
Microsoftは、同社からもソースコードの一部を盗んだLapsus$の手口や対策を説明する公式ブログを公開した。電話によるソーシャルエンジニアリングやSIMスワッピングなどを使う。Microsoftはコードの機密性に依存していないため、公開されてもリスクは高まらないとしている。 - Microsoftの「Bing」などのソースコードを盗めたとLapsus$が宣言
ハッキンググループのLapsus$が、Microsoftに侵入し、ソースコードを盗んだとTelegramに投稿した。BingやCortanaのコードの一部としている。Lapsus$はユーザー認証サービスを手掛けるOktaのデータも盗んだとしている。 - 狙われるクラウド、恐喝の手口は悪質化 2022年のセキュリティ動向予測
社会を支えるインフラを脅かしたランサムウェア攻撃や、取引先との関係を悪用するサプライチェーン攻撃など、2021年も世界的な影響を及ぼすサイバー犯罪が多発した。被害を防ぐためにはどんな対策が求められるのか。2022年の動向を探る。 - 今そこにある 分業制「サイバー脅迫エコノミー」 企業を狙うマルウェア、脆弱性の放置は格好の標的に
サイバー犯罪の分業システムという、嫌な経済圏が既に動いているようだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.