Oktaは米国時間4月19日、1月にハッキンググループ「LAPSUS$」の攻撃で発生したセキュリティ侵害の調査結果を発表した。被害の範囲は当初考えられていたより「はるかに小規模」だったとしている。LAPSUS$はサードパーティーの顧客サポートエンジニアが使用しているノートPCに侵入したが、攻撃者が制御できたのは25分間のみであり、アクティブな顧客テナントへの影響は2件だったという。
セキュリティ侵害は1月21日に発生した。その際、LAPSUS$はSitelの顧客サポートエンジニアが使用しているノートPCへのリモートアクセスを確立した。このことは、3月22日に攻撃者がOktaのシステムのスクリーンショットを公開したことで明らかになっていた。
Oktaとともにこの件の調査を実施した「世界的に有名なサイバーセキュリティ企業」(社名は明かされていない)の最終的なフォレンジックレポートによると、LAPSUS$はOktaのリソースにアクセスできるSitelのサポートエンジニアが使用しているワークステーション1台の制御を掌握していた。この脅威アクターは、ワークステーションの制御を握っていた25分の間に、SuperUserアプリケーション内にあった2つのアクティブな顧客のテナントにアクセスしたという。また、Okta顧客のテナント内でアクションを実行する上で使用することができない、「Slack」や「Jira」といった特定アプリケーション内のさらなる限られた情報も閲覧していた。
Oktaによると、この脅威アクターは設定の変更、多要素認証(MFA)やパスワードのリセット、顧客サポートへの「なりすまし」による行動を実行することはできなかった。Oktaアカウントへの直接認証もできなかったという。
Oktaの最高セキュリティ責任者(CSO)David Bradbury氏は、「この侵害の全体的な影響は、われわれが当初想定していたよりもはるかに小規模だったものの、この種の侵害が顧客と、Oktaへの信頼にもたらす可能性のある幅広い影響を認識している」と述べている。
Oktaは、3月22日にスクリーンショットが流出した後、影響を受けた可能性のある顧客の数が最大366件に及ぶことを明らかにしていた。その約1週間後、同社は早い段階で顧客に通知しなかった理由について、「Sitelの問題の程度を把握していなかった(中略)Oktaおよび当社の顧客に対するリスクの存在を認識していなかった」と説明した。
現在、調査は終了している。Oktaは顧客に向け、最終的なフォレンジックレポートを提供し、同社の「セキュリティアクション計画」を用意している。
同社は19日、サブプロセッサー向けの監査手続とセキュリティ保証を強化するさまざまな対策を取ることを明らかにした。Oktaに代わってサポートサービスを提供するサブプロセッサーに「ゼロトラスト」セキュリティアーキテクチャーを導入するよう求める。また、OktaはSykes/Sitelとの契約を終了させたという。
さらにOktaは、同社の顧客サポートツールにアクセスするサードパーティーのデバイスすべてを直接管理するとしている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
