サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR]
今回は「サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR]」についてご紹介します。
関連ワード (一度、対処、認証情報等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
Okta(オクタ)は、パスワードレス認証や多要素認証などの技術を活用し、業務で使う様々なSaaSアプリのシングルサインオンなどの便利で安全なアイデンティティ管理とアクセス管理のプラットフォームを提供する代表的な企業として知られています。
2021年には開発者に人気のあったアイデンティティ管理プラットフォームの「Auth0」を買収、サービスを統合したことで、この分野での地位をさらに強固なものとしました。
その同社は2023年10月、顧客企業のサポート管理システムへの不正アクセスがあったことを公表しました。攻撃者は、顧客がサポート管理システムにアップロードしたファイルの中からセッショントークンを窃取し、それを使って5社の顧客企業のOktaテナントへの不正アクセスを試みました。また、その後の調査で、機密性の高い情報は含まれていなかったものの、サポートケース管理システムを利用する顧客のユーザー名や電子メールアドレスなどを含むレポートが攻撃者によってダウンロードされていたことが判明しました。
そのため同社は第三者機関への依頼も含む慎重な調査を行い、最終的には同社の本番サービスに影響はなく、また同社が当初に想定した以上の悪質な脅威活動の証拠がないことを確認。2024年2月に本件の調査とユーザーへの対応を完了したことを報告しました。この中で、今後の同社プラットフォームにおけるセキュリティ強化のための具体策などを明らかにします。
調査終了を受けて、同社CEOは今後あらためてセキュリティを常に最優先に取り組み、アイデンティティ攻撃との戦いで業界をリードするための長期計画「Okta Secure Identity Commitment」を表明しました。
Oktaへの攻撃の背後にあるサイバー攻撃の現状
こうしたOktaへのサイバー攻撃の状況を踏まえ、その背後になにがあったのか、そして今後同社は具体的にどのように対策をするのか。パートナーやユーザーはこうした攻撃にどのように対応していくことが望ましいのかなどを、同社APJ担当リージョナルCSO(チーフセキュリティオフィサー)であるBrett Winterford氏に聞きました。
Brett氏は、パスワードレスや多要素認証が普及しつつあることでパスワードなどのログイン情報を攻撃者が盗むことが難しくなってきたため、攻撃の標的がログイン情報から、「認証の証明」(Proof of Authentication)に移りつつあり、それがOktaの攻撃の背景にあると説明します。
Okta社 APJ担当リージョナルCSO(チーフセキュリティオフィサー) Brett Winterford氏OktaチーフプロダクトアーキテクトのKarl McGuinness氏が同社ブログで公開した記事「未来のSaaSアプリを守るには」でも、「今日、攻撃者は、高度に標的化された組織のユーザー認証情報を窃取することができない場合、ユーザーの『認証の証明』(Proof of Authentication)を窃取することに軸足を移しています。」と書いています。
攻撃者はトークンが保存されているところを狙ってきた
Winterford氏 「アイデンティティの認証サービスは、ビジネスにおいてもプライベートにおいても全てのサービスの入り口となっています。そして私たちのプラットフォームが多くのサービスで使われるようになることで攻撃も増加し、複雑化しています。
特に複雑さという点では、このところ大きく変わってきました。
私たちのプラットフォームはパスワードを使わずに認証できるパスワードレスの機能などを提供しています。そのためパスワードのようなログイン情報を盗むのは難しくなってきています。すると、ユーザーが正しく認証できたということを示す証拠の部分、『認証の証明』(Proof of Authentication)に攻撃が向かうようになってきました。
『認証の証明』とは具体的にはセッショントークンのようなものです。認証済みのトークンを盗めれば、そのユーザーになりすまして自由にアクセス先を操作できるようになります。それが狙いです。
盗む方法は主に2つ。1つはマルウェアを使ってログインやサインインの後にブラウザからトークンを盗み出します。もう1つは、中間者攻撃によるフィッシング攻撃で、アタッカーが盗難のための透過的なプロキシを使ってセッションに入り、ユーザーがログインやサインインの後にトークンを盗み出すというものです。
私たちのインシデントは、特殊な方法と言えますが、そのトークンが保存されているところに攻撃者が向かったことが分かっています。彼らはたまたまその場所を攻撃したのではなく、しっかりと狙ってきているのです。」
「ステップアップ認証」や「ゼロスタンディング特権」を提供
Oktaは今回のインシデントを受けて前述のCEOによるコミットメントの下、増加する「認証の証明」への攻撃への対策強化、特にユーザーにとって最もセキュリティ上重要な機能であるAdmin Console(管理コンソール)でのセキュリティ強化を具体化させました。
1つ目はAdmin Consoleでの多要素認証100%の義務化です。さらに、管理者が重要なアクションを実行する際には、「ステップアップ認証」と呼ばれる再度の認証を求めることで追加的な保護を提供します。
またAdmin Consoleにおける「ゼロスタンディング特権」の提供も開始しました。これは管理者であっても最初は非常に制限された権限しか持つことができず、より重要な操作をする場合には少なくとも他の2人以上の管理者による承認を得る必要がある、というものです。
承認を得た後には、より高いレベルの操作が可能になりますが、一定期間が過ぎるとまた最初の制限された権限に戻ります。
「IPバインディング」でセッションの乗っ取りを防止
さらに「IPバインディング」という革新的な機能も提供します。これはセッション中に送信元IPが変更された場合にはそのセッションを無効化します。これによりセッションの乗っ取りを防止できるようになります。
この他にもいくつものセキュリティ対策を追加していきます。そしてこうした対策により、万が一攻撃者がトークンを入手できたとしても、限られた権限しか持たず、ほかの場所では使えないといった制約がかかるわけです。
「継続的アクセス評価」の標準化を推進
Winterford氏は、こうした「認証の証明」を狙う攻撃の増加によってアプリケーションのセキュリティ要件も変わらざるを得ないとした上で、同社のプラットフォームを使うことでそうした対策を組み込むことができるようになると説明します。
さらに、他のサービスやアプリケーションとの連携においても新たなセキュリティ対策を提供するとして、次のように説明します。
Winterford氏 「さらに『継続的アクセス評価』(Continuous Access Evaluation)と呼ばれる革新的な機能も追加します。
これはSaaSアプリケーションが、このユーザーもしくはセッションが怪しい動きをしている、と検知した場合に、Oktaのようなアイデンティティプロバイダにアラートを発することができるというものです。
その逆も同様で、Okta側で怪しいユーザーやセッションを発見した場合、アプリケーション側にアラートを発することができるようになります。
現在、アイデンティティとアクセス管理の国際標準化団体である「OpenID Foundation」によって標準化されたフレームワーク「Shared Signals Framework」を用いて、リスクシグナルの送受信や統合ができる仕組みを構築しています。
そうなると、そうしたリスクシグナルを集めて何が出来るのか。例えば、ユーザー側で不審な振る舞いを検知した場合にそのリスクシグナルをアイデンティティプロバイダーとSaaSアプリが共有することで適切な対処を自動的にできるようになります。
すでにこの『継続的アクセス評価』はAppleを始めとする数社と具体化しているところです」
一括でログアウトする「Universal Logout」
また同社は「Universal Logout」にも取り組んでいるとWinterford氏は説明します。
Universal Logoutとは、Oktaが「シングルサインオン」で複数のアプリケーションにログインさせることができるように、一度の操作でユーザーを全てのアプリケーションからログアウトさせる仕組みです。
有効なセッションが残っていると攻撃者に悪用されるリスクが残ります。一括してログアウトできるようにすることで、そのようなリスクを軽減できます。Oktaのミッションは、セッション中にアクセスされた全てのアプリからユーザーをサインアウトする標準的な手法を確立することです。
セッションのジャック対策をOktaのプラットフォームが実現する
今回の同社に起きたインシデントでフォーカスされた「認証の証明」(Proof of Authentication)への攻撃、セッションをジャックしてしまう攻撃は、ビジネスにおいて連携するサービスやアプリケーションのエコシステム全体の問題でもあるとWinterford氏は指摘します。
そのため、これからのサービスやアプリケーションには今回紹介されたような防衛機能がデフォルトとして求められるはずで、Oktaのアイデンティティプラットフォームがその実現を支援するとしました。
≫世界をリードする アイデンティティ企業|Okta
(本記事はOkta Japan提供のタイアップ記事です)