Okta Discloses Broader Impact Linked to October 2023 Support System Breach
2023/11/29 TheHackerNews — ID サービス・プロバイダの Okta は、2023年10月に発生した同社のサポート・ケース管理システムの侵害に関連して、新たな脅威アクターの活動を検知したことを明らかにした。同社は、「脅威アクターは、Okta の顧客サポート・システムの全ユーザーの名前およびメールアドレスをダウンロードしていた」と、The Hacker News と共有した声明で述べている。
Okta は、「Workforce Identity Cloud (WIC) および Customer Identity Solution (CIS) の全ユーザーが影響を受ける。ただし、FedRamp High/DoD IL4 環境では、脅威アクターがアクセスしたサポート・システムは使用されていないため、その影響は受けない。Auth0/CIC のサポート・ケース管理システムは、このインシデントの影響を受けていない」と詳述している。
この、情報漏えいの範囲が拡大したというニュースは、Bloomberg が最初に報じたものだ。Okta は同誌に対して、盗まれた情報が積極的に悪用された証拠はないが、フィッシングやソーシャル・エンジニアリングなどの潜在的なリスクについて、全顧客に通知する措置を取ったと語っている。
さらに同社は、「当社のプラットフォームに新しいセキュリティ機能をプッシュし、Okta 管理者に対する潜在的な標的型攻撃から身を守るための、具体的な推奨事項を顧客に提供した。また、調査のために、デジタル・フォレンジック会社の協力を得ており、情報が不正にダウンロードされた個人にも通知する予定だ」としている。
2023年9月28日〜10月17日に発生した Okta の情報漏えいは、18,400人の顧客のうちの1% (134人) に影響が生じたと、同社は発表していた。それから、3週間以上が経過している。
この攻撃を操る脅威アクターの身元は、現在のところ不明である。しかし、Scattered Spider と呼ばれる悪名高いサイバー犯罪グループが、2023年8月にも同社を標的にしている。そのときには、高度なソーシャル・エンジニアリング攻撃を仕掛けて、管理者権限の昇格を取得していた。
先週に ReliaQuest が発表したレポートによると、Scattered Spider は無名の企業に侵入して、Okta のシングル・サインオン (SSO:Single Sign-On) を介して IT 管理者のアカウントにアクセスし、その後1時間以内に、この IDaaS プロバイダーから、そのオンプレミス資産へと横移動したという。
この手強い脅威アクターは、ここ数カ月で BlackCat ランサムウェアのアフィリエイトへと進化しており、クラウドやオンプレミスの環境に侵入して、ファイルの暗号化マルウェアの展開を行い、不正な利益を得ている。
ReliaQuest の研究者である James Xiang は、「このグループの継続的な活動は、複雑なクラウドとオンプレミスの環境を理解し、洗練されたナビゲーションを達成するという、高度に熟練した脅威アクターまたは、グループの能力の証である」とコメントしている。
この 2023年は、Okta にとって大変な年でした。今日の記事の参照元である、ReliaQuest ブログのタイトルは “Scattered Spider Attack Analysis” であり、日本語でいうと ”蜘蛛の子を散らす” というニュアンスなのでしょうか。Okta で検索すると明らかですが、この夏以降は、毎月のように Okta の問題が報じられており。それらの関連性を掴みようがないという感じです。
IoT OT Security News 
You must be logged in to post a comment.