2022年1月の侵害に関するOktaの調査について

更新：米国時間3月23日午前8時50分（日本時間3月24日午前0時50分）

++

2022年3月22日、およそ24時間前に、Oktaの第三者であるカスタマーサポートエンジニアの1人が使用しているパソコン上で撮影された多数のスクリーンショットがネット上で公開されました。これらのスクリーンショットが共有されたことは、私自身とOktaチーム全体にとって恥ずべきことであります。

この投稿では、これまでの経過と、この調査に関する現在の状況について、時系列と私の見解を述べたいと思います。Oktaのサービスは侵害されておらず、お客様が取るべき是正措置もないという結論に私が自信を持っている理由が明らかになればと思います。

背景として、多くのSaaSプロバイダーと同様に、Oktaは複数の企業（復処理者）（注1）を利用して、当社の労働力を拡大しています。これらの企業は、当社がお客様に製品を提供し、お客様が当社の製品で成功するのをご支援しています。Sykesによる買収にともない、SitelがOktaの復処理者となり、Oktaのカスタマーサポート組織に契約社員を提供しています。

2022年1月20日、Oktaセキュリティチームは、SitelカスタマーサポートエンジニアのOktaアカウントに新しい要素が追加されたとのアラートを受けました。その要素はパスワードでした。それによる試みは失敗に終わりましたが、慎重を期してアカウントをリセットし、大手フォレンジック企業に調査を依頼したSitelに通知しました。

次のタイムラインは、主要なマイルストーンの概要を示しています。

タイムライン（協定世界時：UTC）

• 2022年1月20日23:18 - Okta Securityは、新しい場所からSitel従業員のOktaアカウントに新しい要素が追加されたというアラートを受け取りました。ターゲットはMFAチャレンジを受け入れず、Oktaアカウントへのアクセスを阻止しました。
• 2022年1月20日23:46 - Okta Securityはアラートを調査し、セキュリティインシデントにエスカレートさせました。
• 2022年1月21日 00:18 - Oktaサービスデスクは、ユーザーのアカウントを封じ込めることを支援するために、このインシデントに追加されました。
• 2022 年1月21日 00:28 - Oktaサービスデスクは、ユーザーのOktaセッションを終了し、疑わしい活動の根本原因を特定して改善できるまでアカウントを一時停止しました。
• 2022年1月21日18:00 - Okta Securityは、Sitelと侵害の指標を共有しました。Sitelは、大手フォレンジック会社の外部サポートを依頼したと当社に連絡しました。
• 2022年1月21日～2022年3月10日 - フォレンジック会社によるインシデントの調査と分析は2022年2月28日まで行われ、Sitelへの報告書は2022年3月10日付で提出されました。
• 2022年3月17日 - OktaはSitelからインシデントに関するサマリーレポートを受け取りました。
• 2022年3月22日 03:30 - LAPSUS$によってスクリーンショットがオンラインで共有されました。
• 2022年3月22日05:00 - Okta Securityは、スクリーンショットがSitelの1月の事件に関連していると判断しました。
• 2022年3月22日12:27 - OktaはSitelから完全な調査報告書を受け取りました。

Sitelへの通知から調査報告書が発行されるまでの期間が長かったことは、非常に残念です。反省点としては、Sitelのサマリーレポートを受け取った時点で、その意味を理解するためにもっと迅速に行動すべきだったということです。

私たちの調査は、Sitelのサマリーレポートに含まれていないスクリーンショットが、攻撃者が RDPを使用してリモートアクセスを取得したSitelサポートエンジニアのコンピュータから撮影されたものであることを確認しました。このデバイスはSitelが所有し、管理していました。このシナリオは、コーヒーショップで自分のコンピュータから離れると、見知らぬ人が（この場合は仮想的に）自分のコンピュータに座り、マウスとキーボードを使用していることに似ています。つまり、攻撃者はアカウントの乗っ取りによってOktaサービスにアクセスすることはできませんでしたが、Oktaにログインしているマシンが侵害され、RDPセッションを通じてスクリーンショットを取得し、マシンを制御することができたのです。

サポートエンジニアが持つアクセス権は、インバウンドのサポートクエリに対応する基本的な業務に限定されていることを理解することが重要です。サポートエンジニアは、OktaのJiraインスタンス、Slack、Splunk、RingCentral、Salesforceによるサポートチケットなど、多くのカスタマーサポートツールを使用して仕事をこなします。サポートエンジニアのタスクの大半は、SuperUser（略してSU）と呼ばれる社内で構築されたアプリケーションを使用して行われ、Oktaの顧客テナントの基本的な管理機能を実行するために使用されています。これは、すべてのユーザーに「神のようなアクセス」を提供するものではありません。これは、サポートエンジニアが自分の役割を果たすために必要な特定のアクセス権のみを付与されるように、最小限の権限を念頭に置いて構築されたアプリケーションです。彼らは、ユーザーを作成したり削除したりすることはできません。顧客データベースをダウンロードすることはできません。ソースコードレポジトリにアクセスすることもできません。

フォレンジック会社からの報告書は、脅威者がSitel環境にアクセスできる期間が2022年1月16日から21日の間の5日間であることを示し、私たち自身の分析でそれを検証しました。

このインシデントの影響範囲を特定するために、私たちのチームは最悪のシナリオを想定し、問題の5日間にすべてのSitel社員がSuperUserアプリケーションに対して行ったすべてのアクセスを調査しました。過去24時間に渡って125,000以上のログエントリーを分析し、該当期間中にSitelによってどのようなアクションが実行されたかを確認しました。その結果、SitelによってOktaテナントにアクセスされた366（約2.5%）のお客様に影響がおよぶ可能性があると判断しました。 

サポートエンジニアがアクセスしたため、情報とアクションは制約されています。お客様にとって必要な措置ではありませんが、お客様ご自身で分析を行うことも十分に想定されます。透明性を確保するため、これらのお客様には、その期間にSitelがOktaテナントに対して実行したアクションを示すレポートをお渡しいたします。これは、お客様にご自身で状況を判断していただくための最善の方法だと考えています。

すべてのセキュリティインシデントと同様に、私たちのプロセスやコミュニケーションを改善するための多くの機会があります。私たちは正しい方向に進んでおり、この出来事は私たちのセキュリティへのコミットメントを強化することになると確信しています。

LAPSUS$に関するOktaのステートメントは以下をご覧ください。https://www.okta.com/jp/blog/2022/03/updated-okta-statement-on-lapsus/

注1: 復処理者（sub-processor）とは、処理者から処理を再委託された別の処理者。