1Password が公表したインシデント:Okta 認証セッションなどが悪用された?

1Password discloses security incident linked to Okta breach

2023/10/23 BleepingComputer — 1Password は、人気のパスワード管理プラットフォームであり、100,000社以上の企業で利用されている。そして、同社の Okta ID 管理テナントにアクセスしたハッカーにより、セキュリティ・インシデントに見舞われている。1Password の CTO である Pedro Canahuati は、「私たちは、当社のサポート・システムのインシデントに関連する、Okta インスタンス上で不審な活動を検出した。そして、徹底的な調査の結果、1Password のユーザー・データへのアクセスな発見されなかった」と述べている。

彼は、「9月29日の時点で、従業員向けアプリの管理に使用している、Okta インスタンスで不審なアクティビティを検出した。そのアクティビティを直ちに停止/調査した結果として、従業員/ユーザー向けのユーザー・データなどの機密システムへの侵害は発見されなかった」と付け加えている。

その一方で、10月20日 (金) には Okta が、盗み出した認証情報を悪用する脅威アクターたちが、サポート・ケース管理システムに侵入したことを明らかにした。

これらのサポート・ケースの一環として顧客に依頼するのは、問題のトラブルシューティングのための HTTP アーカイブ (HAR) ファイルの定期的なアップロードである。しかし、これらのHARファイルには、認証クッキーやセッション・トークンなどの機密データが含まれており、Okta の正当な顧客になりすますために、それらを悪用できる。

最初に BeyondTrust が、Okta に対して情報漏えいを知らせた。BeyondTrust は、Okta とフォレンジック・データを共有し、同社のサポート組織が情報漏えいを引き起こしたことを示唆した。しかし Okta が、その侵害を確認するまでには、2週間以上を要してしまった。

また Cloudflare は、このインシデントを Okta が公表する2日前の 10月18日に、同社のシステム上で悪意のアクティビティを検知している。BeyondTrustと同様に、脅威者は Okta のサポート・システムから盗んだ認証トークンを悪用して、Cloudflare の Okta インスタンスに侵入し、管理者権限を得ている。

Okta に関連する 1Password の侵害

10月23日 (月) の午後に発表されたレポートで 1Password は、盗み出された IT 従業員のセッション・クッキーを悪用する脅威アクターが、同社の Okta テナントに侵入したと述べている。

1Password のレポートには、「Okta のサポートに確認したところ、このインシデントは、脅威アクターがスーパー管理者アカウントを侵害する、既知のキャンペーンと類似していることが判明した。このケースにおける脅威アクターは、認証フローを操作し、影響を受ける組織内のユーザーを装うために、セカンダリ ID プロバイダーを確立しようとする」と記されている。

このレポートによると、1Password の IT チームのメンバーが、Okta にサポートケースを開設し、Chrome Dev Tools から作成した HAR ファイルを提供しているという。この HAR ファイルに含まれるものには、Okta 管理ポータルへの不正アクセスで悪用された Okta 認証セッションがある。

このアクセスを悪用する脅威アクターは、以下の行為を試みた:

  • IT チームメンバーの、ユーザー・ダッシュボードにアクセスしようとしたが、Okta によってブロックされた。
  • Google のプロダクション環境に関連付けられた、既存の IDP (Okta Identity Provider) を更新。
  • IDP をアクティベート。
  • 管理ユーザーのレポートを要求。

9月29日の時点で 1Password の IT チームは、従業員から正式に要求を装う、管理者レポートに関する不審な電子メールを受信した後に、この侵害を検知した。

1Password のレポートには、「2023年9月29日に IT チームのメンバーが、管理者のリストを含む Okta レポートが始まったという、予期せぬ電子メール通知を受け取った。それ以降において、私たちは Okta と協力して、最初の侵害ベクターを特定した。10月20日 (金) の深夜の時点で、Okta のサポート・システム侵害の結果だと確認した」と記されている。

しかし、1Password への侵入の方法については、若干の混乱があるようだ。1Password のセキュリティ・インシデントが発生した後において、IT 従業員の HAR ファイルへのアクセスを示すログはないと、Okta は主張している。

1Password は、その後に、すべての IT 従業員の認証情報をローテーションしたという。それに加えてコンフィグレーションを変更し、Okta 以外の IDP からのログインの拒否/管理ユーザーのセッション時間の短縮/管理ユーザーの MFA ルールの厳格化/スーパー管理者の数の削減などを実施したという。

この件について、BleepingComputer も 1Password に問い合わせたが、すぐに回答は得られていない。

最近の Okta に関する記事といえば、2023/10/20 の「Okta サポート・システムが侵害された:正規ユーザーを装う攻撃が予測される」であり、Okta は、同社のサポートケース管理システムに侵入したハッカーが、正当なユーザーを装うために悪用できる機密データを盗み出したと、警告を発していました。1Password 以外の企業にも、影響が及んでいる可能性がありますが、この侵害で生じる問題点などが、少し分かってきた感じがしますね。