Oktaへの侵害にみるサプライチェーンリスク管理の重要性

当社では技術提携をしているイスラエル企業のブログや報告書を紹介しています。

今回は当社の「サプライチェーンリスク評価サービス」で技術提携をしているPanorays社のブログ『Oktaへの侵害にみるサプライチェーンリスク管理の重要性』を紹介します。

サイバーセキュリティ対策の参考としてご活用いただければ幸いです。

Hunter Markman@Panorays | 2022年3月29日 

認証サービスとIAM（Identity and Access Management）と呼ばれるアクセス管理システムを提供する米国大手　OktaがLapsus$と呼ばれるハッカー集団によって侵害されたニュースはまだ記憶に新しいことと思います。このコラムでは、Oktaで何が起きたのか、あなたの組織は安全なのか、攻撃された場合、どう対処すればよいのか、リスクを軽減するには何ができるのかなどを見ていきましょう。

Oktaは、全世界で3800人を超える従業員と15,000社以上の顧客を抱える企業であり、現在、侵害の事実を調査中としています。

一方、Oktaを攻撃したLapsus$は、ブラジルに拠点があると考えられている攻撃者グループで、2020年には、ブラジル保健省のコンピュータシステムを侵害、その後、Samsung、MercadoLibre、Vodafone、Ubisoftなどの大手企業を攻撃したことで、一躍、その名が知られるようになりました。彼らは従業員の認証情報を侵害し、正当なユーザになりすまし、顧客データを窃取します。

Oktaに何が起こったのか？

ことの発端はサードパーティ経由での侵害でした。

2022年3月22日、Lapsus$はOktaの顧客データとされるスクリーンショットを公開します。

同年の1月、Oktaは委託先の企業でカスタマーサポートエンジニアとして働く人物のアカウントへの侵害の試みを検出していました。今となっては、これがLapsus$による攻撃であったと考えられています。同社は、当時、疑わしいIPアドレスをフォレンジック調査を行う企業と即共有するという対応を行っています。

影響範囲は?

この攻撃によりLapsus$は、Okta.comへの「スーパーユーザ/管理者」としてのアクセス権を取得し、顧客データにアクセスをしたようです。Lapsus$の目的はOktaそのものではなく、Oktaをサードパーティとして利用している企業の顧客のデータでした。

Oktaが既に公表していますが、2022年1月16日から21日の5日間、攻撃者はサポートエンジニアのラップトップにアクセスできる状態にありました。また、Oktaの顧客への被害は限定的で、サポートエンジニアたちがアクセス権を持っていた顧客のみであることも言及されています。これらのエンジニアたちは、顧客データベースを保持しているわけではありませんが、JIRAによるチケット管理を行っていたため、限定的ではあるもののユーザリストが漏洩した可能性があります。さらに、関連して、エンジニアたちはOktaの顧客アカウントに対して高い特権を持っていた可能性もあります。

Lapsus$は、こうしたアカウントのパスワードのリセットや、アカウントに関連付けされたメールアドレスの変更なども実行することができました。つまりは、顧客がロックアウトされる可能性もあるということを意味します。つまり、Oktaはサードパーティ由来の侵害を受け、また、それによって自身の顧客にも侵害を引き起こしたというわけです。

Oktaのソリューションを使っている組織、また自社と取引のあるサードパーティがOktaの管理システムを使用している場合、侵害される可能性があります。Oktaは、顧客の約2.5%がデータ侵害を含む影響を受けていると考えており、順次、特定をして、連絡を取っています。

何をすべきか?

調査・特定

1. 自組織、または重要なサードパーティベンダーやパートナーがOktaの管理システムを使用していないか確認しましょう。このような状況ではサードパーティのリスク管理プラットフォームが役に立ちます。
2. Oktaの利用を確認した場合、そのログインに関する異常な振る舞いがないか確認しましょう。

保護

1. Oktaの設定画面でユーザセッションの有効時間を短縮しましょう。
2. 組織内の多要素認証のポリシーを確認し、実施状況も確認しましょう。(オーセンティケータアプリの使用をお勧めします)
3. 組織内の未使用のIDがあれば削除しましょう。
4. 新規ログイン、新規登録情報、および登録情報のリセットの通知を有効にしましょう。
5. この侵害に関するアップデートは、Panoraysのニュースページを参照してください。また、Panoraysユーザは、プラットフォーム上の「サイバーニュースとデータ侵害」でもご確認いただけます。

対応

1. サードパーティのセキュリティリスク管理対策の見直しやアップグレードを検討し、リスクを軽減につなげましょう。
2. Panoraysのサードパーティインシデントレスポンスプレイブックを参照にして、こうしたインシデントへの備えを万全に行いましょう。*プレイブックは現在は英語版のみですが、4月下旬に日本語版を公開予定です。
3. 従業員にも、サードパーティ経由のリスクに関する教育を行い、共通認識を広げると共に、充分な注意を促しましょう。特にフィッシングの試みなど、気になる兆候は即セキュリティ管理者に通知する重要性を理解してもらいましょう
4. サードパーティに対する自社のリスク軽減の取り組みをサードパーティと共有し、同様の取り組みを推奨しましょう。
5. Oktaからの追加の侵害情報に留意し、導入済みのソリューションなどを活用して、疑わしいアクティビティ(特にパスワードリセット)の可視性を強化しましょう。

Panoraysのサードパーティセキュリティマネジメントプラットフォームは、サードパーティを自動的に検出し、各社におけるセキュリティ体制を可視化します。サードパーティの可視性とコントロールに興味のある方はこちら