サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR]

今回は「サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR]」についてご紹介します。

関連ワード (一度、対処、認証情報等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Okta(オクタ)は、パスワードレス認証や多要素認証などの技術を活用し、業務で使う様々なSaaSアプリのシングルサインオンなどの便利で安全なアイデンティティ管理とアクセス管理のプラットフォームを提供する代表的な企業として知られています。

2021年には開発者に人気のあったアイデンティティ管理プラットフォームの「Auth0」を買収、サービスを統合したことで、この分野での地位をさらに強固なものとしました。

その同社は2023年10月、顧客企業のサポート管理システムへの不正アクセスがあったことを公表しました。攻撃者は、顧客がサポート管理システムにアップロードしたファイルの中からセッショントークンを窃取し、それを使って5社の顧客企業のOktaテナントへの不正アクセスを試みました。また、その後の調査で、機密性の高い情報は含まれていなかったものの、サポートケース管理システムを利用する顧客のユーザー名や電子メールアドレスなどを含むレポートが攻撃者によってダウンロードされていたことが判明しました。

そのため同社は第三者機関への依頼も含む慎重な調査を行い、最終的には同社の本番サービスに影響はなく、また同社が当初に想定した以上の悪質な脅威活動の証拠がないことを確認。2024年2月に本件の調査とユーザーへの対応を完了したことを報告しました。この中で、今後の同社プラットフォームにおけるセキュリティ強化のための具体策などを明らかにします。

「Okta Secure Identity Commitment」を表明

調査終了を受けて、同社CEOは今後あらためてセキュリティを常に最優先に取り組み、アイデンティティ攻撃との戦いで業界をリードするための長期計画「Okta Secure Identity Commitment」を表明しました。

Oktaへの攻撃の背後にあるサイバー攻撃の現状

こうしたOktaへのサイバー攻撃の状況を踏まえ、その背後になにがあったのか、そして今後同社は具体的にどのように対策をするのか。パートナーやユーザーはこうした攻撃にどのように対応していくことが望ましいのかなどを、同社APJ担当リージョナルCSO(チーフセキュリティオフィサー)であるBrett Winterford氏に聞きました。

Brett氏は、パスワードレスや多要素認証が普及しつつあることでパスワードなどのログイン情報を攻撃者が盗むことが難しくなってきたため、攻撃の標的がログイン情報から、「認証の証明」(Proof of Authentication)に移りつつあり、それがOktaの攻撃の背景にあると説明します。

figOkta社 APJ担当リージョナルCSO(チーフセキュリティオフィサー) Brett Winterford氏

OktaチーフプロダクトアーキテクトのKarl McGuinness氏が同社ブログで公開した記事「未来のSaaSアプリを守るには」でも、「今日、攻撃者は、高度に標的化された組織のユーザー認証情報を窃取することができない場合、ユーザーの『認証の証明』(Proof of Authentication)を窃取することに軸足を移しています。」と書いています。

攻撃者はトークンが保存されているところを狙ってきた

Winterford氏 「アイデンティティの認証サービスは、ビジネスにおいてもプライベートにおいても全てのサービスの入り口となっています。そして私たちのプラットフォームが多くのサービスで使われるようになることで攻撃も増加し、複雑化しています。

特に複雑さという点では、このところ大きく変わってきました。

私たちのプラットフォームはパスワードを使わずに認証できるパスワードレスの機能などを提供しています。そのためパスワードのようなログイン情報を盗むのは難しくなってきています。すると、ユーザーが正しく認証できたということを示す証拠の部分、『認証の証明』(Proof of Authentication)に攻撃が向かうようになってきました。

『認証の証明』とは具体的にはセッショントークンのようなものです。認証済みのトークンを盗めれば、そのユーザーになりすまして自由にアクセス先を操作できるようになります。それが狙いです。

盗む方法は主に2つ。1つはマルウェアを使ってログインやサインインの後にブラウザからトークンを盗み出します。もう1つは、中間者攻撃によるフィッシング攻撃で、アタッカーが盗難のための透過的なプロキシを使ってセッションに入り、ユーザーがログインやサインインの後にトークンを盗み出すというものです。

私たちのインシデントは、特殊な方法と言えますが、そのトークンが保存されているところに攻撃者が向かったことが分かっています。彼らはたまたまその場所を攻撃したのではなく、しっかりと狙ってきているのです。」

「ステップアップ認証」や「ゼロスタンディング特権」を提供

Oktaは今回のインシデントを受けて前述のCEOによるコミットメントの下、増加する「認証の証明」への攻撃への対策強化、特にユーザーにとって最もセキュリティ上重要な機能であるAdmin Console(管理コンソール)でのセキュリティ強化を具体化させました。

1つ目はAdmin Consoleでの多要素認証100%の義務化です。さらに、管理者が重要なアクションを実行する際には、「ステップアップ認証」と呼ばれる再度の認証を求めることで追加的な保護を提供します。

またAdmin Consoleにおける「ゼロスタンディング特権」の提供も開始しました。これは管理者であっても最初は非常に制限された権限しか持つことができず、より重要な操作をする場合には少なくとも他の2人以上の管理者による承認を得る必要がある、というものです。

承認を得た後には、より高いレベルの操作が可能になりますが、一定期間が過ぎるとまた最初の制限された権限に戻ります。

「IPバインディング」でセッションの乗っ取りを防止

さらに「IPバインディング」という革新的な機能も提供します。これはセッション中に送信元IPが変更された場合にはそのセッションを無効化します。これによりセッションの乗っ取りを防止できるようになります。

この他にもいくつものセキュリティ対策を追加していきます。そしてこうした対策により、万が一攻撃者がトークンを入手できたとしても、限られた権限しか持たず、ほかの場所では使えないといった制約がかかるわけです。

「継続的アクセス評価」の標準化を推進

Winterford氏は、こうした「認証の証明」を狙う攻撃の増加によってアプリケーションのセキュリティ要件も変わらざるを得ないとした上で、同社のプラットフォームを使うことでそうした対策を組み込むことができるようになると説明します。

さらに、他のサービスやアプリケーションとの連携においても新たなセキュリティ対策を提供するとして、次のように説明します。

Winterford氏 「さらに『継続的アクセス評価』(Continuous Access Evaluation)と呼ばれる革新的な機能も追加します。

これはSaaSアプリケーションが、このユーザーもしくはセッションが怪しい動きをしている、と検知した場合に、Oktaのようなアイデンティティプロバイダにアラートを発することができるというものです。

その逆も同様で、Okta側で怪しいユーザーやセッションを発見した場合、アプリケーション側にアラートを発することができるようになります。

現在、アイデンティティとアクセス管理の国際標準化団体である「OpenID Foundation」によって標準化されたフレームワーク「Shared Signals Framework」を用いて、リスクシグナルの送受信や統合ができる仕組みを構築しています。

そうなると、そうしたリスクシグナルを集めて何が出来るのか。例えば、ユーザー側で不審な振る舞いを検知した場合にそのリスクシグナルをアイデンティティプロバイダーとSaaSアプリが共有することで適切な対処を自動的にできるようになります。

すでにこの『継続的アクセス評価』はAppleを始めとする数社と具体化しているところです」

一括でログアウトする「Universal Logout」

また同社は「Universal Logout」にも取り組んでいるとWinterford氏は説明します。

Universal Logoutとは、Oktaが「シングルサインオン」で複数のアプリケーションにログインさせることができるように、一度の操作でユーザーを全てのアプリケーションからログアウトさせる仕組みです。

有効なセッションが残っていると攻撃者に悪用されるリスクが残ります。一括してログアウトできるようにすることで、そのようなリスクを軽減できます。Oktaのミッションは、セッション中にアクセスされた全てのアプリからユーザーをサインアウトする標準的な手法を確立することです。

セッションのジャック対策をOktaのプラットフォームが実現する

今回の同社に起きたインシデントでフォーカスされた「認証の証明」(Proof of Authentication)への攻撃、セッションをジャックしてしまう攻撃は、ビジネスにおいて連携するサービスやアプリケーションのエコシステム全体の問題でもあるとWinterford氏は指摘します。

そのため、これからのサービスやアプリケーションには今回紹介されたような防衛機能がデフォルトとして求められるはずで、Oktaのアイデンティティプラットフォームがその実現を支援するとしました。

≫世界をリードする アイデンティティ企業|Okta

(本記事はOkta Japan提供のタイアップ記事です)

元記事: https://www.publickey1.jp/blog/24/oktapr.html
PR セキュリティ #一度 #対処 #認証情報

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
2021年フォルクスワーゲンID. 4はただ1点を除けばかなりいい仕上がり、高度な技術と長い航続距離を手が届く価格で実現
モビリティ
2021-03-30 17:50
天井を突き抜けて成長する「昇竜」の年に–テラスカイ・佐藤氏
IT関連
2024-01-12 08:02
サイトビジットの電子契約サービスが「freeeサイン」に名称変更、個人事業主専用スタータープランも開始
IT関連
2022-03-10 08:57
Google Cloud FunctionsがPHPをサポート開始 サーバレスの関数が記述可能に
クラウドユーザー
2021-04-29 14:28
NEC、AIを活用した現場可視化・分析サービスを提供
IT関連
2024-02-16 15:15
マイクロソフト、Copilotの有料版「Copilot Pro」を発表
IT関連
2024-01-17 03:26
受発注から決済まで企業間取引をデジタル完結–流通サプライチェーンのデジタル通貨活用で実証
IT関連
2022-06-04 02:11
ネットワークインフラの購入調達をウェブで現代化したLightyear
ネットサービス
2021-07-17 18:05
中外製薬、従業員同士で「感謝」と「ポイント」を贈るツール導入–成長促進と社会貢献へ
IT関連
2022-09-28 02:27
Android 12ではゲームのダウンロード完了前にプレイ開始が可能に
ゲーム / eSports
2021-07-14 09:58
AWS、公共向けビジネスに参入するスタートアップ企業支援策を開始
IT関連
2022-02-19 16:44
研究予算・指導方針・就職先など全国の研究室情報と口コミを検索できる「研究室サーチ by LabBase」ベータ版が公開
ネットサービス
2021-07-03 07:17
伊丹市、働き方改革に向け「スマート庁舎」のITインフラを整備–アライドテレシスが支援
IT関連
2023-10-28 22:41
CPUを使わない新種のAI推論ハードウェアを開発するイスラエルのNeuRealityが8.4億円調達
人工知能・AI
2021-02-13 16:48