SOMPO CYBER SECURITY
当社では技術提携をしているイスラエル企業のブログや報告書を紹介しています。
今回は当社の「サプライチェーンリスク評価サービス」で技術提携をしているPanorays社のブログ『Oktaへの侵害にみるサプライチェーンリスク管理の重要性』を紹介します。
サイバーセキュリティ対策の参考としてご活用いただければ幸いです。
Hunter Markman@Panorays | 2022年3月29日
認証サービスとIAM(Identity and Access Management)と呼ばれるアクセス管理システムを提供する米国大手 OktaがLapsus$と呼ばれるハッカー集団によって侵害されたニュースはまだ記憶に新しいことと思います。このコラムでは、Oktaで何が起きたのか、あなたの組織は安全なのか、攻撃された場合、どう対処すればよいのか、リスクを軽減するには何ができるのかなどを見ていきましょう。
Oktaは、全世界で3800人を超える従業員と15,000社以上の顧客を抱える企業であり、現在、侵害の事実を調査中としています。
一方、Oktaを攻撃したLapsus$は、ブラジルに拠点があると考えられている攻撃者グループで、2020年には、ブラジル保健省のコンピュータシステムを侵害、その後、Samsung、MercadoLibre、Vodafone、Ubisoftなどの大手企業を攻撃したことで、一躍、その名が知られるようになりました。彼らは従業員の認証情報を侵害し、正当なユーザになりすまし、顧客データを窃取します。
ことの発端はサードパーティ経由での侵害でした。
2022年3月22日、Lapsus$はOktaの顧客データとされるスクリーンショットを公開します。
同年の1月、Oktaは委託先の企業でカスタマーサポートエンジニアとして働く人物のアカウントへの侵害の試みを検出していました。今となっては、これがLapsus$による攻撃であったと考えられています。同社は、当時、疑わしいIPアドレスをフォレンジック調査を行う企業と即共有するという対応を行っています。
この攻撃によりLapsus$は、Okta.comへの「スーパーユーザ/管理者」としてのアクセス権を取得し、顧客データにアクセスをしたようです。Lapsus$の目的はOktaそのものではなく、Oktaをサードパーティとして利用している企業の顧客のデータでした。
Oktaが既に公表していますが、2022年1月16日から21日の5日間、攻撃者はサポートエンジニアのラップトップにアクセスできる状態にありました。また、Oktaの顧客への被害は限定的で、サポートエンジニアたちがアクセス権を持っていた顧客のみであることも言及されています。これらのエンジニアたちは、顧客データベースを保持しているわけではありませんが、JIRAによるチケット管理を行っていたため、限定的ではあるもののユーザリストが漏洩した可能性があります。さらに、関連して、エンジニアたちはOktaの顧客アカウントに対して高い特権を持っていた可能性もあります。
Lapsus$は、こうしたアカウントのパスワードのリセットや、アカウントに関連付けされたメールアドレスの変更なども実行することができました。つまりは、顧客がロックアウトされる可能性もあるということを意味します。つまり、Oktaはサードパーティ由来の侵害を受け、また、それによって自身の顧客にも侵害を引き起こしたというわけです。
Oktaのソリューションを使っている組織、また自社と取引のあるサードパーティがOktaの管理システムを使用している場合、侵害される可能性があります。Oktaは、顧客の約2.5%がデータ侵害を含む影響を受けていると考えており、順次、特定をして、連絡を取っています。
Panoraysのサードパーティセキュリティマネジメントプラットフォームは、サードパーティを自動的に検出し、各社におけるセキュリティ体制を可視化します。サードパーティの可視性とコントロールに興味のある方はこちら