Okta、2022年1月の侵害に関する調査を終了

2022年1月に発生した当社のサードパーティベンダーの侵害に関する調査を終了しました。

調査開始当初は、当社のベンダーであるSitel社が契約しているフォレンジック会社のレポートに基づき、脅威者が同社の環境にアクセスしたとされた1月16日から21日までの5日間に焦点を合わせました。この期間内にSitelのカスタマーサポートエンジニアがアクセスしたOktaのお客様テナントは、最大で366におよぶ可能性があると判断しました。

当社の社内セキュリティ専門家と、当社がフォレンジックレポートの作成を依頼した世界的に著名なサイバーセキュリティ企業による徹底的な調査の結果、今回のインシデントの影響は、2022年3月22日にOktaがお伝えした、可能性として考えられる最大の影響範囲に比べ大幅に少ないと結論づけることができました。

当社が契約した世界的に著名なサイバーセキュリティ企業の最終的なフォレンジックレポートでは、次のように結論づけられています。

  • 脅威者は、Sitelのサポートエンジニアが使用する、Oktaにアクセス可能な1台のワークステーションを制御していました。
  • その制御ができた時間は、2022年1月21日の連続した25分間でした。
  • この限られた時間の中で、脅威者はSuperUserアプリケーション(サポートエンジニア用のOkta専用ツール)内の2つのアクティブなお客様のテナント(別途、お客様には通知済み)にアクセスしました。また、お客様のテナントへの操作とは無関係のSlackやJiraなどの特定のアプリケーションの限られた情報を閲覧しました。
  • 脅威者は、カスタマーサポート担当者になりすまして、設定変更、MFAまたはパスワードのリセットを試みましたが、失敗に終わりました。
  • 脅威者が直接認証を受けてアクセスすることができたOktaアカウントはありませんでした。

今回の侵害による全体的な影響は、当初の想定していた内容よりもかなり小さかったと判断することができました。しかし、このような侵害が当社のお客様やOktaへの信頼に影響を与えることを、私たちは理解しております。

お客様との協働

Oktaは、2022年3月21日に脅威者がスクリーンショットの撮影に成功したことを初めて知ったとき、その時点で分かっていることを共有し、透明性を持って対応しました。2022年3月22日には、影響を受ける可能性のあるお客様への通知を開始しました。これは、5日間の間にSitelの全従業員がSuperUserアプリケーションに対して行ったすべてのアクセスを調査することで範囲を設定したものです。私たちは、SuperUserアプリケーションのログをそれぞれのお客様と共有し、Okta社内のセキュリティ専門家スタッフを含むミーティングを開催して、お客様がログデータを理解できるようにしました。これは、お客様の信頼を回復し、お客様とともにOktaサービスの安全性を再確認するという当社のコミットメントを示すために実施したものです。

今回、調査が完了したので、当初は影響が及んだ可能性があると思われたOktaのお客様に対して、以下の2つの文書を提供しました。

  • 世界的に著名なサイバーセキュリティのフォレンジック会社がOktaのために作成した、最終的なフォレンジックレポート
  • 顧客サポートシステムにアクセスするサードパーティの業務委託先のセキュリティを強化するため、Oktaの短期と長期の対策を概説するOkta Security Action Plan

今回のインシデントから学んだこと

私たちは、影響を受けた可能性のあるお客様だけでなく、より幅広いお客様とエコシステムにおいて信頼を回復するための取り組みがいかに重要であるかを認識しています。今回のフォレンジックレポートの結果が出ましたが、同じ様な事の再発を防ぎ、セキュリティインシデントへの対応能力を向上させるための是正措置を講じるという固い決意を抱きました。そのためには、当社のセキュリティプロセスを見直し、サードパーティからのアップデートや社内の大小さまざまな潜在的問題を迅速に解決するための新しい方法を模索することから始めます。私たちは、潜在的なリスクを評価し、必要であれば、できるだけ早くお客様とコミュニケーションをとる努力を続けてまいります。

また、さまざまな方面から対策を講じることをお約束いたします。

  1. サードパーティのリスク管理
    • Oktaは、業務委託先に対する監査手順を強化し、業務委託先が当社の新しいセキュリティ要件に準拠していることを確認します。Oktaに代わってサポートサービスを提供する業務委託先には、ゼロトラストセキュリティアーキテクチャを採用し、すべてのワークプレイスアプリケーションについてOktaのアイデンティティとアクセス管理(IDAM)ソリューション経由で認証を行うことを義務付けます。
    • OktaはSykes/Sitelとの関係を解消しました。
  2. カスタマーサポートシステムへのアクセス
    • Oktaは今後、当社のカスタマーサポートツールにアクセスする第三者のすべてのデバイスを直接管理し、第三者に依存することなくセキュリティインシデントに効果的に対応するために必要な可視性を提供する予定です。これにより、対応時間を大幅に短縮し、潜在的な影響ではなく、実際の影響をより確実にお客様に報告することが可能になります。
    • テクニカルサポートエンジニアが閲覧できる情報を制限するため、カスタマーサポートツールにさらなる改良を加えています。この変更により、お客様の管理コンソール(System Log経由)でこのツールが使用される場合の透明性も向上します。
  3. お客様とのコミュニケーション
    • コミュニケーションプロセスの見直しを行い、セキュリティや可用性の問題に関して、お客様とのコミュニケーションをより迅速に行えるような新システムを導入する予定です。
       

今後の展望

Oktaのお客様は、私たちの誇りであり、目的であり、最優先事項です。今回のインシデントでは、Oktaのテクノロジーは優れていましたが、Sitelでの出来事について伝える努力が、私たち自身とお客様の期待を下回るものであったことは、大変遺憾であります。

Oktaの経営陣は、過去数週間にわたり何千人ものお客様とお会いし、当社の対応について直接お話しさせていただきました。

私たちはこの調査を終了するにあたって、お客様とのパートナーシップをより一層強化し、お客様と共に歩んできた道のりを強く意識しております。Oktaを必要とする多くの組織と個人の方々にとってOktaがいかに重要であるかを認識し、お客様のためにこれまで以上に尽力して参る決意を固めております。