このアップデートは太平洋時間午前8時50分に投稿されました。
++
2022年3月22日、約24時間前、Oktaのサードパーティのカスタマーサポートエンジニアの1人が使用したコンピューターから取得された多数のスクリーンショットがオンラインで公開されました。これらのスクリーンショットの共有は、私自身とOktaチーム全体にとって恥ずかしいことです。
この記事では、これまでに起こったことと、この調査の現状に関する私の視点とタイムラインを提供したいと思います。Oktaサービスが侵害されておらず、お客様による修正措置は不要であるという当社の結論に自信を持っている理由を明確にできると期待しています。
SaaS Oktaこれらのエンティティは、お客様への提供を支援し、当社の製品でお客様を成功に導きます。Sykes Okta Customer Support
2022 年 1 月 20 日、Okta Security チームは、Sitel カスタマーサポートエンジニアの Okta アカウントに新しい要素が追加されたことを警告されました。この要素はパスワードでした。その個々の試みは成功しませんでしたが、念のため、アカウントをリセットし、Sitel に通知して、主要なフォレンジック会社に調査を依頼しました。
次のタイムラインは、主要なマイルストーンの概要を示しています。
タイムライン(時刻はUTC)
- 2022年1月20日、23:18 - Okta Securityは、新しい場所からSitel従業員のOktaアカウントに新しい要素が追加されたというアラートを受信しました。ターゲットはMFAチャレンジを受け入れなかったため、Oktaアカウントへのアクセスを防ぎました。
- 2022年1月20日23時46分 - Okta Securityはアラートを調査し、セキュリティインシデントにエスカレーションしました。
- 2022年1月21日00時18分 - ユーザーのアカウントを封じ込めるために、Oktaサービスデスクがインシデントに追加されました。
- 2022 1 21 00:28 - Okta Service Desk Okta
- 2022年1月21日18時00分-Okta Securityは、侵害の指標をSitelと共有しました。Sitelは、主要なフォレンジック会社からの外部サポートを維持していることを知らせてくれました。
- 2022年1月21日~2022年3月10日 - 鑑識会社によるインシデントの調査と分析は2022年2月28日まで実施され、Sitelへの報告書は2022年3月10日付となっています。
- 2022年3月17日 - OktaはSitelからインシデントに関するサマリーレポートを受信しました
- 2022年3月22日、03:30 - LAPSUS$によってオンラインで共有されたスクリーンショット
- 2022年3月22日午前5時 - Okta Securityは、スクリーンショットがSitelでの1月のインシデントに関連していることを確認しました。
- 2022年3月22日、12時27分 - OktaはSitelから完全な調査レポートを受け取りました
Sitelへの通知から完全な調査報告書の発行までに経過した長い期間に非常に失望しています。振り返ってみると、Sitelのサマリーレポートを受信したら、その影響を理解するためにもっと迅速に行動すべきでした。
当社の調査により、Sitelのサマリーレポートに含まれていなかったスクリーンショットは、攻撃者がRDPを使用してリモートアクセスを取得したSitelサポートエンジニアのコンピューターから取得されたものであることが判明しました。このデバイスはSitelが所有および管理していました。ここでのシナリオは、コーヒーショップでコンピューターから離れることに似ています。これにより、見知らぬ人が(この場合は仮想的に)あなたのマシンに座って、マウスとキーボードを使用しています。攻撃者はアカウントの乗っ取りによってOktaサービスにアクセスしたわけではありませんが、Oktaにログインしていたマシンが侵害され、スクリーンショットを取得してRDPセッションを通じてマシンを制御することができました。
サポートエンジニアが持つアクセス権は、受信サポートクエリの処理における基本的な職務に限定されていることを理解することが重要です。サポートエンジニアは、Jira、Slack、Splunk、RingCentralのOktaインスタンス、Salesforceを介したサポートチケットなど、ジョブを完了するために多数のカスタマーサポートツールを使用します。サポートエンジニアリングタスクの大部分は、SuperUserまたはSUと呼ばれる社内構築のアプリケーションを使用して実行されます。これは、Oktaカスタマーテナントの基本的な管理機能を実行するために使用されます。これは、すべてのユーザーに「神のようなアクセス」を提供するものではありません。これは、最小特権を念頭に置いて構築されたアプリケーションであり、サポートエンジニアが自分の役割を実行するために必要な特定のアクセス権のみが付与されるようにします。ユーザーの作成や削除はできません。顧客データベースをダウンロードすることはできません。ソースコードリポジトリにアクセスすることはできません。
法医学会社の報告書では、脅威アクターがSitel環境にアクセスできた期間が2022年1月16〜21日の5日間あったことが強調されており、これは当社独自の分析で検証しました。
このインシデントの爆風範囲を特定しようとする際に、当社のチームは最悪のシナリオを想定し、問題の5日間のSuperUserアプリケーションに対するすべてのSitel従業員によるすべてのアクセスを調査しました。過去24時間に、関連期間中にSitelによって実行されたアクションを特定するために、125,000を超えるログエントリを分析しました。OktaテナントがSitelによってアクセスされたお客様は、最大366人(約2.5%)であると判断しました。
サポートエンジニアが持っていたアクセス権のため、情報とアクションは制約されていました。お客様にとって必須のステップではありませんが、お客様が独自の分析を完了したいと思われることを十分に期待しています。Okta Sitelこれが、お客様自身で状況を評価できるようにするための最良の方法だと考えています。
すべてのセキュリティインシデントと同様に、プロセスとコミュニケーションを改善する機会はたくさんあります。私たちは正しい方向に進んでいると確信しており、このインシデントはセキュリティへのコミットメントを強化するだけです。
https://www.okta.com/blog/2022/03/updated-okta-statement-on-lapsus/.
