エンタープライズセキュリティプロバイダーのOktaに影響を及ぼしたセキュリティ侵害を受けて、同社は万全の状態だと発表しました。火曜日にハッカーが内部情報を漏洩したとされるスクリーンショットを投稿したにもかかわらず、Oktaは顧客が是正措置を講じる必要はないと主張しています。

1月の「これまで公表されていなかった事件」

2022年1月、Oktaはサードパーティのカスタマーサポートエンジニアのアカウントへの不正アクセスを検知しました。セキュリティ企業はカスタマーサービスプロバイダーに状況を報告し、該当ユーザーのアクティブなOktaセッションを終了し、アカウントを停止しました。

これらの予防措置の後、Oktaは調査を支援するため、侵害に関与した疑いのあるIPアドレスを含む関連情報を提供しました。調査終了後、Oktaは今週、フォレンジック調査会社から報告書を受け取りました。

その報告によると、ハッカーらは1月16日から1月21日までサポートエンジニアのラップトップにアクセスしていた。Oktaは火曜日に共有されたスクリーンショットは、その侵入によるものだと考えている。

Oktaセキュリティ侵害の範囲

Oktaは声明の中で、今回の侵害の影響は「サポートエンジニアが持つアクセス権限に限定される」と主張している。サポートエンジニアはトラブルチケットやユーザーリストを閲覧し、ユーザーのパスワードや多要素認証要素をリセットすることができる。

Oktaによると、ハッカーは実際にこれらのパスワードを入手することはできないとのことです。同社は独自の調査を継続中だと主張しています。影響を受けた顧客を特定し、連絡を取るとしています。これは非常に重要です。たとえ侵害でパスワードが漏洩しなかったとしても、ユーザー名のリストだけでもハッカーにとって有益となる可能性があるからです。

ハッカーは、ユーザー名を一度入手すると、ソーシャルエンジニアリングを駆使してそのユーザーのアカウントにアクセスしようとするのが常套手段です。ユーザーになりすましたり、メールアドレスを変更したり、ログインに使えるパスワードを入手しようと試みたりします。

Oktaの最高セキュリティ責任者であるDavid Bradbury氏は、今回の侵害は「Auth0の顧客、そしてHIPAAとFedRAMPの顧客に影響を与えていない」と述べた。しかし、FedExや医療機関だけでなく、数千もの企業がOktaの認証サービスに依存している。

多くの顧客は侵害に気付かない

比較的新しいハッカーグループ「Lapsus$」が、今回の侵害の責任を主張しています。同グループのTelegramチャンネルに、ハッカーたちは前述のスクリーンショットを投稿しました（ロイター通信経由）。最近、Lapsus$はNVIDIAに関する機密情報を漏洩しました。

サイバーセキュリティコンサルティング会社フォボス・グループの創設者ダン・テントラー氏は、この侵害は事実だと信じていると述べた。Oktaもまた、ウェブサイト上の声明以外、顧客に通知を一切行っていない。

Mac Observerの読者で、Builders FirstSourceのサービスデスクスペシャリストであるウォーレン・スクラー氏は、Oktaが数ヶ月前からこの侵害を認識していたことを知って驚いた。スクラー氏の勤務先はOktaの顧客の一つだが、何の通知も受け取っていない。スクラー氏によると、彼と同僚たちは「2FA企業がハッキングされたにもかかわらず、顧客にすぐに通知しなかったという皮肉な状況に笑ってしまった」という。