アクセス管理システム大手のOktaは、サイバー犯罪グループLapsus$が主張するサイバー攻撃により、2.5%=約375の企業が影響を受けたと発表しました。
同社は、顧客が取るべき是正措置はないとして、その結論を発表しました。
Oktaは、1月にハッカーが同社のサポートエンジニアのノートPCに侵入し、顧客のパスワードリセットを開始させることができるセキュリティインシデントを発生させたことを確認しました。
この侵害に関する調査の結果、攻撃者は5日間ノートパソコンにアクセスすることができ、その間にOktaのカスタマーサポートパネルと同社のSlackサーバーにアクセスすることができたことがわかりました。
報告書では、2022年1月16日から21日の間に、攻撃者がサポートエンジニアのノートパソコンにアクセスできる5日間の時間帯があったことが強調されています。
Lapsus$グループが公開したスクリーンショットには、Okta社員のメールアドレスが写っており、ユーザーのリストアップ、パスワードのリセット、MFAのリセット、サポートチケットへのアクセスを可能にする「スーパーユーザー」権限を持っていると思われる。
ただし、同社は、もしこのような侵害が成功してもサポートエンジニアが持つアクセス権の範囲に限られ、ユーザーの作成や削除、顧客データベースのダウンロードなどはできないと説明している。
サポートエンジニアは、スクリーンショットに見られた、例えばJiraチケットやユーザーのリストなど、限られたデータへのアクセスは可能でした。ただサポートエンジニアは、ユーザーのパスワードや多要素認証(MFA)要素のリセットを促進することができますが、それらのパスワードを取得することはできません – Okta
Oktaはその後の更新で、約2.5%の顧客がLapsus$のサイバー攻撃の影響を受けたと発表しています。
Oktaの顧客数は15,000社以上であるため、約375の組織が何らかの形でアカウントを侵害された可能性があることを意味します。
私たちは、これらのお客様を特定し、直接連絡を取っています。Oktaのお客様で、影響を受けた方は、すでに電子メールで直接ご連絡しています
Oktaの侵害に対するCloudflareの反応
Lapsus$のスクリーンショットには、Okta社員のアカウントを侵害したハッカーによってパスワードがリセットされようとしているCloudflare社員のメールアドレスも写っています。
ウェブインフラとセキュリティの企業であるCloudflareは、報告の中でLapsus$のスクリーンショットに存在する会社の電子メールアカウントは、同社のセキュリティインシデント対応チーム(SIRT)が問題の可能性に関する最初の通知を受けた約90分後、3月22日の早朝(UTC 03:30)に停止されていたことを明らかにしました。
“ソーシャルメディアで共有されたスクリーンショットには、ハッカーがOktaの従業員を装っており、パスワードのリセットを開始できたことを示すポップアップとともに、Cloudflare従業員のメールアドレスが表示されていた” – Cloudflare
Cloudflareは、Oktaのサービスは認証スタックに統合された従業員IDのために内部で使用されており、顧客は “自身がOktaを使用しない限り”、何も心配することはないと指摘している。
従業員アカウントへの不正アクセスの可能性を排除するため、Cloudflareは2021年12月1日以降のすべてのパスワードリセットまたは変更されたMFAをチェックしました。合計で144のアカウントが該当し、同社はそのすべてについてパスワードリセットを強制しました。
同社はプロバイダにこの問題を通知すると同時に、侵害されたユーザーのアクティブセッションを終了させ、アカウントを停止しました。
Lapsus$の対応
Oktaの声明に対して、Lapsus$グループはOkta従業員のラップトップではなく、シンクライアントを侵害したと主張しています。
「スーパーユーザー・ポータルにログインし、95%のクライアントのパスワードとMFAをリセットすることができた」と主張し、侵害は失敗に終わったというOktaの断言に異議を唱えています。
Comments