Okta 警告:CORS 機能を狙ったクレデンシャル・スタッフィング攻撃が展開されている

Okta warns of credential stuffing attacks targeting its CORS feature

2024/05/29 BleepingComputer — Okta は、Customer Identity Cloud (CIC) 機能がクレデンシャル・スタッフィング攻撃の標的となり、4月以降において多数の顧客が狙われていると警告している。Okta は ID/Access 管理の大手企業であり、アプリ/Web サイト/デバイスへの安全なアクセスのための、クラウド・ベースのソリューションを提供している。さらに同社は、SSO (single sign-on)/多要素認証 (MFA:multi-factor authentication) /ユニバーサル・ディレクトリ/API アクセス管理/ライフサイクル管理なども提供している。


クレデンシャル・スタッフィング攻撃とは、データ漏洩や情報窃取マルウェアにより盗まれたユーザー名/パスワードの大規模なリストを作成する攻撃者が、それらを用いてオンライン・アカウントへの侵入を試みるものである。

Customer Identity Cloud のクロス・オリジン認証機能を利用するエンドポイントを標的として、2024年4月15日からクレデンシャル・スタッフィング攻撃が展開されていたことを、Okta は発見したという。

同社のアドバイザリには、「当社は、Customer Identity Cloud (CIC) の機能が、クレデンシャル・スタッフィング攻撃を展開する攻撃者に狙われやすいことを確認した。Okta Secure Identity Commitment の一環として、また、顧客のセキュリティに対するコミットメントの一環として、潜在的に疑わしい活動を定期的に監視/確認し、顧客に積極的に通知している」と記されている。

Okta の CORS (Cross-Origin Resource Sharing) 機能とは、顧客が Web サイトやアプリケーションに JavaScript を追加し、ホストされている Okta API への認証コールの送信を可能にするものだ。この機能を使用するには、クロスオリジン・リクエストの発信元となる、URL へのアクセスを許可する必要がある。

同社は、これらの URL はクレデンシャル・スタッフィング攻撃の標的になっているため、使用していない場合は無効化する必要があると警告している。また、これらの攻撃の標的となった顧客に対しては、アカウントの安全性を確保するための、改善ガイダンスを通知している。

Okta は 2024年4月末にも顧客に警告を発しているが、その内容は、2024年3月に同じ攻撃者から発信されたクレデンシャル・スタッフィング攻撃により、Cisco Talos 製品がターゲットにされたというものだ。

BleepingComputer は Okta に対して、どれだけの顧客がクレデンシャル・スタッフィング攻撃の影響を受けているかを問い合わせた。

攻撃を検知するには

Okta は管理者に対して推奨しているのは、漏えいした認証情報を悪用するクロスオリジン認証とログイン試行を示す、fcoa/scoa/pwd_leak イベントのログをチェックすることである。

テナントでクロスオリジン認証を使用していないケースでも、fcoa/scoa が存在する場合には、クレデンシャル・スタッフィング攻撃の標的になる可能性が高い。クロスオリジン認証が使用されている場合には、fcoa/scoa イベントが異常にスパイクしていないか、確認する必要がある。

Okta がユーザーに推奨するのは、4月15日から疑わしい活動の開始が確認されているため、その時点からのログを確認することだ。

さらに Okta は、以下の緩和策を提案している:

  • Okta が提供している手順に沿って、漏洩したユーザー認証情報を直ちにローテーションする。
  • フィッシングに強いパスワードレス認証を導入する。
  • 強力なパスワード・ポリシーを実施し、多要素認証 (MFA) を導入する。
  • 使用しない場合は、クロスオリジン認証を無効にする。
  • 使用していないクロスオリジン認証デバイスを削除する。
  • 必要に応じて、クロスオリジン認証で許可されるオリジンを制限する。
  • プランに応じて、パスワード漏えいの検出および、クレデンシャル・ガードの有効化を行う。

さらにサポートが必要な場合は、Okta のカスタマー・サポート/コミュニティ・フォーラムから問い合わせることができる。

クレデンシャル・スタッフィング攻撃を受けやすいという基準が、どのあたりにあるのか、よく分かりませんが、Okta および Cisco Talos の製品を利用しているチームは、ご注意ください。よろしければ、Credential Stuffing で検索も、ご利用ください。