Oktaの最高セキュリティ責任者(Chief Security Officer)を務めるデビッド・ブラッドベリー(David Brabury)氏は4月19日、2021年1月に発生したセキュリティインシデントに関する調査を終了したことを同社のブログで明らかにしました。
(原文)Okta Concludes its Investigation Into the January 2022 Compromise
https://www.okta.com/blog/2022/04/okta-concludes-its-investigation-into-the-january-2022-compromise/
(日本語訳)Okta、2022年1月の侵害に関する調査を終了
https://www.okta.com/jp/blog/2022/04/okta-concludes-its-investigation-into-the-january-2022-compromise/
このインシデントは、MicrosoftやNVIDIAなど世界的な企業や組織への攻撃を繰り返しているサイバー犯罪集団「Lapsus$」によるOktaへの攻撃で、Oktaのカスタマーサポートを担当するサードパーティのSitelのエンジニアのアカウントを経由して行われました。以下、このインシデントの概要を時系列にしたがって挙げておきます。
- 2022年1月20日深夜から1月21日未明にかけて … Oktaのセキュリティ部門がアラートを検知、Sitelのとあるサポートエンジニアのアカウントに新しいファクタ(パスワード)が追加されたという内容。続けて当該のアカウントからOktaへの直接アクセスが試みられるが、多要素認証(MFA)チャレンジで失敗、アクセスは成立となる。このアクセスを受けてセキュリティ部門はアラートを調査し、インシデントとしての扱いを開始、顧客のアカウントを管理するサービスデスク部門ととともに、当該アカウントの利用を一時停止に
- 1月21日 … セキュリティ部門とSitelがインシデントに関する情報共有を開始、ここでSitelはOktaに対して外部のフォレンジック企業のサポートを継続して受けていることを報告する
- 1月21日 - 3月17日 … フォレンジック企業によるインシデントの調査/分析が2月28日まで行われ、3月10日付けでSitelに報告、3月17日にOktaがSitelから概要報告を受ける。概要は「1月16日 - 21日の5日間に攻撃者がSitelにアクセス、うち、1月21日の連続した25分間において、Sitelの当該サポートエンジニアのPCを制御、この時間内で攻撃者はSuperUserアプリケーション(サポートエンジニア用のOkta専用ツール)内の2つのアクティブなOkta顧客テナントにアクセス、また当該テナントの操作とは無関係なSlackやJiraなどのアプリケーション内の情報を閲覧」というもの。
- 3月22日 … Lapsus$が「Okta.comに侵入した」としてスクリーンショットをネットで公開(実際にはSitelの子会社であるSkykesのサポートエンジニアのノートPC画面)、これを受けてブラッドベリー氏はOktaのステートメントを発表、「本インシデントで影響を受ける可能性のある顧客は全体の2.5%(最大366社)で、顧客にはすでに連絡済み」(https://www.okta.com/jp/blog/2022/03/updated-okta-statement-on-lapsus/)
- 4月19日 … インシデントの最終調査完了、「インシデントの影響範囲は予想よりも大幅に小さい」「攻撃者が直接認証を受けてアクセスできたOktaアカウントはない」
このインシデントは最近のサイバー犯罪のトレンドをいくつか含んでいる点でも注目されます。まず、ここ1年ほど大企業に対してランサムウェア攻撃などを多数仕掛けているサイバー犯罪集団のLapsus$によるインシデントであること、また、サプライヤや子会社など下流のエンドポイントから侵入を試みるサプライチェーン攻撃のスタイルを取っていること、そしてクラウド型サービスを提供するOktaやSitelを狙った攻撃であることです。
また、結果としてOktaの情報公開がLapsus$のスクリーンショット公開後になってしまったことで、Oktaの顧客に与えた衝撃と不安は決して小さなものではなく、あらためてセキュリティインシデントを公開するタイミングの難しさを実感させられます。Oktaは顧客への通知が遅れたことに関して「我々は間違いを犯した(We want to acknowledge that we made a mistake.)」と過ちを認めており、理由として「Sitelとの情報共有が不十分だった」ことを挙げていますが、サプライチェーンとのセキュリティ情報の共有は、今後、あらゆる企業にとっての重要な課題になるといえるでしょう。
「アクセスは成立となる」とあるけど「不成立」?