Okta Hack Blamed on Employee Using Personal Google Account on Company Laptop
2023/11/03 SecurityWeek — つい先日に Okta のサポート・システムがハッキングされたが、同社の従業員に支給されたノートパソコンで、個人の Google アカウントへのログインが行われ、認証情報が流出したことが判明した。それにより、複数の Okta 顧客からのデータ窃取が生み出された。Okta のセキュリティ・チーフである David Bradbury が、「サイバーセキュリティ企業である BeyondTrust や Cloudflare を含む、数百の Okta 顧客を巻き込んだ情報漏えいの、最も可能性の高い経路は、社内の過失であった」と事後報告行っている。
彼は、「2023年9月28日〜2023年10月17日に、脅威アクター Okta 顧客の1%未満に相当する、134人の顧客サポートシステム内のファイルに対して、不正アクセスしたことが確認された。それらのファイルの中には、セッション・ハイジャック攻撃に使用される可能性のある、セッション・トークンなどの HAR ファイルが含まれていた」と述べている。
David Bradbury によると、これらのセッション・トークンを悪用する脅威アクターが、5人の顧客の正規 Okta セッションを乗っ取ったという。さらに、システム自体に保存されているサービス・アカウントを利用し、カスタマー・サポート・ケースを閲覧/更新する権限を、この脅威アクターは取得したという。
彼は、「このアカウントの不審な使用について調査したところ、Okta 管理下のラップトップの Chrome ブラウザを介して、従業員が自身の Google プロファイルにサインインしていることを確認された。そして、サービス・アカウントのユーザー名/パスワードは、従業員の個人的な Google アカウントに保存されていた。このクレデンシャルの流出において、最も可能性の高い手段は、従業員の個人的な Google アカウントまたはデバイスからの漏洩である」と説明している。
David Bradbury は、「情報漏洩を発見するための、内部統制に失敗した。積極的に調査していた 14日間において、Okta は不審なダウンロードをログ内で確認できなかった。サポートケースに添付されたファイルを、ユーザーが開いて閲覧すると、そのファイルに関連付けられた特定のログ・イベント・タイプと ID が生成される。しかし、今回の脅威アクターが行ったように、ユーザーがカスタマー・サポート・システムの Files タブに、ユーザーがダイレクトに移動すると、別のレコード ID を持つ、まったく別のログ・イベントが生成される」と指摘している。
彼は、「チームの初期調査は、サポート・ケースへのアクセスに焦点を当てつものだったが、その後に BeyondTrust が、脅威アクターに起因する不審な IP アドレスを共有したことで大きな進展があった。この指標をもとに、侵害されたアカウントに関連する追加のファイル・アクセス・イベントを特定した」と説明している。
Okta に関しては、サードパーティ組織に侵入するために同社のインフラを狙う、複数のハッキング・グループに狙われていることが判明している。2023年9月には、高度なハッキング集団が、同社の IT サービスデスク担当者を標的にして、標的組織内の高特権ユーザーの MFA をリセットするよう促したと、Okta は述べている。
その攻撃を仕掛けたハッカーは、横方向への移動を行い、防御回避の手法を使ったとされるが、その正体と目標に関する情報は共有されていない。関連性の有無は別にして、2022年に 0ktapus という金銭的動機に基づくキャンペーンで、多数の Okta 顧客が標的にされている。
セキュリティのコアを提供する、Okta のようなベンダーは、脅威アクターたちから執拗に狙われます。今回のインシデントに似たものとしては、2023/03/07 の「LastPass ハッキングの全容を解明:エンジニアの自宅のメディアサーバが侵入経路だった」があります。よろしければ、Okta で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.