業務委託先の不正アクセス--Oktaが直面した対応プロセスでの難しさ

國谷武史 (編集部)

2022-06-13 06:00

 ID・アクセス管理のクラウドサービスを手掛けるOktaは、2022年1月に取引先で発生した不正アクセスによるセキュリティインシデントへの対応に迫られた。事前に講じていた技術的対策によって同社と顧客への被害を防いだが、委託先とのやりとりでは困難な状況にも直面したという。事態に対処したAPJ担当リージョナルCSO シニアディレクターのBrett Winterford氏に、当時の詳しい経緯やこの対応で得た教訓などを話してもらった。

Okta APJ担当リージョナルCSO シニアディレクターのBrett Winterford氏
Okta APJ担当リージョナルCSO シニアディレクターのBrett Winterford氏

インシデント発覚の経緯

 今回のインシデントが発生したのは、Oktaがカスタマーサポートの対応業務を委託していたSitelになる。Sitelは約16万人の従業員を抱え、テクノロジーや金融、政府系を中心とした顧客のカスタマーサポート関連業務を受託して世界的にビジネスを展開している。

 Winterford氏によれば、SitelではOktaの顧客からの問い合わせに、Sitelの数人のカスタマーサポートエンジニアによるチームが対応していた。カスタマーサポートエンジニアが業務で利用するシステムはSitel内部に構築されており、ID管理の基盤にはActive Directory(AD)を利用していたという。

 顧客の情報はOkta側で管理されており、Sitelのカスタマーサポートエンジニアが顧客の情報を参照する時は、Okta側のシステムにアクセスする必要がある。その際には、まずSitel内部での認証を経てSitel内部にある仮想ワークステーションに接続する。そこからOkta側のシステムへのアクセスをOktaの認証情報で要求し、IDとパスワードに加えて別の認証方法を併用した多要素認証を行っていた。

 Oktaでは、Sitelなどの外部システムからOktaのシステムに対するアクセスを常時監視しているとのこと。インシデントは、2022年1月21日にOktaの監視でSitelからの通常のアクセスでは見られない不審な2つの動きを検知したことで発覚した。

 不審な動きの1つは、不自然なパスワードリセットの要求だったという。Winterford氏によると、パスワードリセットの要求は、Sitel内の仮想ワークステーションから行われる通常アクセスとは異なるネットワークからもたらされた。

 もう1つは、パスワードリセットの要求における正規ユーザーの反応だった。通常ではパスワードリセットの要求が発生すると、その要求が正しいものかをOktaが確認するために、正規ユーザーに多要素認証を要求しているという。この時は、パスワードリセットの要求したであろうはずのSitelのカスタマーサポートエンジニアが、リセットの実行に必要な多要素認証を拒否した。エンジニア本人がパスワードリセットの要求したのであれば、Oktaの多要素認証を実施しているはずである。

 また、パスワードリセットの要求に対するOktaの多要素認証は、Oktaアカウントに設定されたセカンダリーのメールアドレスに対して送信された。このユーザーが指定しているセカンダリーメールアドレスは、Oktaが所有、管理、監視するアプリではないため停止を選択したという。

 Winterford氏は、「これら複数の不審な兆候を検知したことにより、われわれはSitel側で不正アクセスのインシデントが発生している可能性を疑った。そこで、まずサポートエンジニアのOktaアカウントを停止した上で、Sitelに対してインシデントの疑いを調査するよう求めた」と話す。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]