認証サービスOkta、「LAPSUS$」による不正アクセスの影響は「想定よりはるかに小規模」

今回は「認証サービスOkta、「LAPSUS$」による不正アクセスの影響は「想定よりはるかに小規模」」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Oktaは米国時間4月19日、1月にハッキンググループ「LAPSUS$」の攻撃で発生したセキュリティ侵害の調査結果を発表した。被害の範囲は当初考えられていたより「はるかに小規模」だったとしている。LAPSUS$はサードパーティーの顧客サポートエンジニアが使用しているノートPCに侵入したが、攻撃者が制御できたのは25分間のみであり、アクティブな顧客テナントへの影響は2件だったという。

 セキュリティ侵害は1月21日に発生した。その際、LAPSUS$はSitelの顧客サポートエンジニアが使用しているノートPCへのリモートアクセスを確立した。このことは、3月22日に攻撃者がOktaのシステムのスクリーンショットを公開したことで明らかになっていた。

 Oktaとともにこの件の調査を実施した「世界的に有名なサイバーセキュリティ企業」(社名は明かされていない)の最終的なフォレンジックレポートによると、LAPSUS$はOktaのリソースにアクセスできるSitelのサポートエンジニアが使用しているワークステーション1台の制御を掌握していた。この脅威アクターは、ワークステーションの制御を握っていた25分の間に、SuperUserアプリケーション内にあった2つのアクティブな顧客のテナントにアクセスしたという。また、Okta顧客のテナント内でアクションを実行する上で使用することができない、「Slack」や「Jira」といった特定アプリケーション内のさらなる限られた情報も閲覧していた。

 Oktaによると、この脅威アクターは設定の変更、多要素認証(MFA)やパスワードのリセット、顧客サポートへの「なりすまし」による行動を実行することはできなかった。Oktaアカウントへの直接認証もできなかったという。

 Oktaの最高セキュリティ責任者(CSO)David Bradbury氏は、「この侵害の全体的な影響は、われわれが当初想定していたよりもはるかに小規模だったものの、この種の侵害が顧客と、Oktaへの信頼にもたらす可能性のある幅広い影響を認識している」と述べている。

 Oktaは、3月22日にスクリーンショットが流出した後、影響を受けた可能性のある顧客の数が最大366件に及ぶことを明らかにしていた。その約1週間後、同社は早い段階で顧客に通知しなかった理由について、「Sitelの問題の程度を把握していなかった(中略)Oktaおよび当社の顧客に対するリスクの存在を認識していなかった」と説明した。

 現在、調査は終了している。Oktaは顧客に向け、最終的なフォレンジックレポートを提供し、同社の「セキュリティアクション計画」を用意している。

 同社は19日、サブプロセッサー向けの監査手続とセキュリティ保証を強化するさまざまな対策を取ることを明らかにした。Oktaに代わってサポートサービスを提供するサブプロセッサーに「ゼロトラスト」セキュリティアーキテクチャーを導入するよう求める。また、OktaはSykes/Sitelとの契約を終了させたという。

 さらにOktaは、同社の顧客サポートツールにアクセスするサードパーティーのデバイスすべてを直接管理するとしている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
デル、オープンなテレコムエコシステム強化に向けた新通信ソリューション
IT関連
2022-02-26 21:24
ゴーグルも付属する一人称視点ドローン「DJI FPV」登場
ドローン
2021-03-04 05:13
Epic Gamesが楽曲販売プラットフォームBandcampを買収、音楽分野へ進出
IT関連
2022-03-04 11:55
独Berlin Brands GroupがD2CとAmazon加盟店を約318億円で買収
ネットサービス
2021-02-02 15:09
Windowsの「死のブルースクリーン」、「Windows 11」ではブラックに?
IT関連
2021-07-06 08:01
AIがヒット曲を量産? 人気曲の特徴を学習、メロディやコード進行を自動生成するアプリ登場
ネットトピック
2021-02-23 07:00
SoftBankが米国のヒスパニック系移民向けサービスに大型投資
フィンテック
2021-04-25 16:43
Twitter、青バッジ申請を再開 申請は誰でも可能に
アプリ・Web
2021-05-22 11:43
ロボット遠隔制御サービスHATSを開発するキビテクが1.5億円調達、システム開発や実証実験推進・エンジニア採用強化
IT関連
2022-02-18 22:16
カラーフォントとバリアブルフォントで文字表現を超えたクリエイティブへ 日本語Adobe Fontsの新たな地平 (1/2 ページ)
イラスト・デザイン
2021-04-21 11:33
トヨタ出資の電動航空機メーカーJoby AviationもSPAC経由で上場か
モビリティ
2021-02-14 03:49
音声アシスタントの標準策定へ–Linux Foundationが立ち上げた「Open Voice Network」
IT関連
2021-07-06 17:20
Intel、グラフィックスカード「DG1」発表 約20年ぶりの再参入
企業・業界動向
2021-01-28 06:45
災害時などの耐障害性を検証、Dropboxが「データセンターの接続を断つ」テストで得た成果
IT関連
2022-05-10 11:08