Okta の GitHub リポジトリで侵害が発生:3月の Lapsus$ との関連性は不明

Okta’s source code stolen after GitHub repositories hacked

2022/12/21 BleepingComputer — 今月のことだが、認証サービスおよび IAM (Identity and Access Management) ソリューションの大手プロバイダーである Okta は、同社のプライベート GitHub リポジトリがハッキングされたことを発表した。Okta から送信された機密のメール通知によると、このセキュリティ・インシデントにおいて、脅威アクターが Okta のソースコードを盗み出したという。

ソースコードが盗まれたが顧客データには影響はない

数時間前の時点で BleepingComputer が入手したのは、Okta がメール送信している機密のセキュリティ・インシデント通知である。そして、IT 管理者を含む複数の関係者が、このメール通知を受け取っていることも確認している。

今月の初めに、Okta のコード・リポジトリへの不審なアクセスについて、GitHub から Okta に対して警告が発せられたと、その通知には書かれている。同社の CSO (Chief Security Officer) である David Bradbury は、「調査の結果、このようなアクセスは、Okta のコード・リポジトリをコピーするものだたっと結論づけられました」と、メールに記している。

また、攻撃者は、Okta のソースコードを盗んだが、Okta のサービスや顧客データに不正アクセスすることはなかったとのことだ。同社は、「Okta の HIPAA/FedRAMP/DoD の顧客は、サービスを保護する手段として、ソースコードの機密性に依存していないため、影響を受けることはない。そのため、顧客さいどでの対応は不要である」と述べている。

Okta security incident email sent December 2022
Okta emails its ‘security contacts’ a security notification (BleepingComputer)

上記のレポートが書かれている時点では、メールの文言からして、このインシデントはは、Okta Workforce Identity Cloud (WIC) コード・リポジトリに関連しているようであり、Auth0 Customer Identity Cloud 製品は無関係のようだ。

BleepingComputer が確認した Okta からの通知の、残りの部分の抜粋を以下に掲載する。

Okta は疑わしいアクセスの可能性を検知した直後に、Okta GitHub リポジトリへのアクセスを一時的に制限し、サードパーティ・アプリケーションとの GitHub 統合を、すべて停止した。

その後に、GitHub でホストされている Okta ソフトウェア・リポジトリへの、最近の全アクセスを検証して暴露の範囲を把握した。その上で、GitHub でホストされている Okta ソフトウェア・リポジトリへの、最近の全のコミットを検証し、同社におけるコードの整合性を確認し、GitHub 認証情報をローテーションした。また、法執行機関にも通知した。

さらに、このコードを使用して、企業や個人の顧客環境にアクセスできないようにするための措置も講じている。ただし、それにより、顧客へのサービス提供に支障が生じることは想定していない。

注:このセキュリティ・イベントは、Okta Workforce Identity Cloud (WIC) コード・リポジトリに関連するものであり、Auth0 (Customer Identity Cloud) 製品には無関係である。

当社は、透明性と顧客とのパートナーシップを重視し、この情報を共有することを決定した。透明性へのコミットメントを誓う、機密事項メールを終了する一方で、Okta は今日、ブログで声明を発表する。 — Okta

BleepingComputer は、この公開に先立ち、Okta に質問を投げかけたが、すぐに回答は得られなかった。

Oktaのセキュリティ・インシデント:この1年を振り返って

今年は Okta にとって、一連のセキュリティ・インシデントに関する情報公開があり、たいへんな1年だった。

今年の9月には、Okta 傘下の Auth0 が、同様のインシデントを公開している。 この認証サービス・プロバイダーによると、古い Auth0 のソースコード・リポジトリが、第三者の個人による不明な手段で、その環境から流出したとのことだ。しかし、Okta の問題は、1月のハッキングの公開をめぐる中で、かなり前から始まっていた。

今年の3月には、データ強奪グループ Lapsus$ が、Okta の管理コンソールと顧客データにアクセスできたと主張し、盗んだデータのスクリーンショットを Telegram に投稿し始めた。

これらの主張について、調査中であると述べた Okta は、そこで言及されているハッキングは 2022年1月下旬に発生し、顧客の 2.5% に影響を及ぼす可能性があったことを認めた。当時の Okta の顧客数が 15,000以上だったことから、この数字は 375組織に相当すると推定される。

同じ週に Okta は、このハッキングが、同社の第三者契約者である Sitel (Sykes) に端を発していたこと、そして公開を遅らせたのは間違いだったと認めた。

そして4月に Okta は、1月の侵入は 25分間だけのものであり、当初の予想より影響は大幅に小さく、わずか2社の顧客に留まったことを明らかにした。

文中にもあるように、2022年の Okta は、ご難続きでしたね。関連する記事としては、4月19日の「Okta を侵害した Lapsus$:影響を受けたテナントは2件のみだった」や、7月20日の「Okta の脆弱性:研究者たちが指摘するパスワード窃取の可能性とは?」、8月25日の「Twilio/Okta ハッキングの全容:背後にいる脅威アクターの追跡も始まる」などがあります。よろしければ、Okta で検索も、ご利用ください。

%d bloggers like this: