Oktaのサポートケース管理システムへの不正アクセス: 根本原因と改善策
要旨
このたび影響を受けられたお客様、そしてOktaをアイデンティティプロバイダーとして信頼してくださっているすべてのお客様に心よりお詫び申し上げます。私たちは、すべてのお客様に最新の情報をご提供することをお約束いたします。
2023年10月19日(木)(米国時間)にOktaはお客様にセキュリティインシデントの発生をお知らせいたしました。調査の結果、2023年9月28日から2023年10月17日にかけて、脅威者がOktaのカスタマーサポートシステム内のファイル(Oktaのお客様の1%未満に相当する134社)に不正アクセスしたことを確認いたしました。これらのファイルの中には、セッションハイジャック攻撃に使用可能なセッショントークンを含むHARファイルが含まれていました。脅威者はこれらのセッショントークンを使用して、5社のお客様の正規のOktaセッションをハイジャックすることができました。そのうち3社がこのインシデントに対する自社の対応を共有されています。
Oktaのカスタマーサポートシステムへの不正アクセスは、システム自体に保存されているサービスアカウントを利用していました。このサービスアカウントには、カスタマーサポートケースを閲覧・更新する権限が付与されていました。Okta Securityチームは、このアカウントの不審な使用について調査したところ、一人の従業員が、Oktaが管理するノートPCのChromeブラウザで個人のGoogleプロファイルにサインインしていることを確認しました。サービスアカウントのユーザー名とパスワードは、その従業員個人のGoogleアカウントに保存されていました。この資格情報が流出した経路として最も可能性が高いのは、その従業員の個人用Googleアカウントもしくは個人用デバイスの侵害です。
カスタマーサポートベンダーのログから特定できなかったファイルダウンロード
Oktaは、14日間に渡って積極的に調査を行いましたが、ログから不審なダウンロードを特定できませんでした。ユーザーがサポートケースに添付されたファイルを開いて閲覧すると、そのファイルに関連付けられた特定のログイベントタイプとIDが生成されます。今回の攻撃で脅威者が行ったように、ユーザーがカスタマーサポートシステムのファイルタブに直接移動した場合、異なるレコードIDを持つまったく別のログイベントが生成されます。
Oktaの最初の調査は、サポートケースへのアクセスに焦点を当て、その後、これらのケースにリンクされたログを調査しました。2023年10月13日、BeyondTrustはOkta Securityチームに、脅威者に起因する不審なIPアドレスを提供しました。この指標を使用して、侵害されたアカウントに関連する追加のファイルアクセスイベントを特定しました。
調査のタイムライン
- 2023-09-29
1Passwordが不審な行動をOkta Supportに報告。 - 2023-09-29
Okta Securityが調査を開始し、1Passwordがマルウェアまたはフィッシング攻撃の被害者である可能性が高いと疑う。 - 2023-09-29~2023-10-02
Okta Securityが9/29、9/30、10/1、10/2に1Passwordと面会し、サポートケースの解決を図る。 - 2023-10-02
BeyondTrustが不審な行動をOkta Supportに報告。 - 2023-10-02〜2023-10-11
Okta Securityが10/2から10/11にかけて1PasswordとBeyondTrust と複数回面談。 - 2023-10-12
3社目のお客様がOkta Supportに不審な行動を報告。 - 2023-10-13
BeyondTrustが10/2にOkta Supportに報告したイベントに関連する侵害の指標(IPアドレス)をOkta Securityに提供。 - 2023-10-16
提供されたIPアドレスを使用して、Okta Securityは、カスタマーサポートシステムのログに記録された、以前は観測されなかったイベントに関連するサービスアカウントを特定。 - 2023-10-17
Okta Securityはサービスアカウントを無効にし、関連するセッションを終了させる。 - 2023-10-17
Okta Securityは、脅威者によってアクセスされたカスタマーサポートシステムのログで特定されたすべてのファイルをコピーして調査。Oktaのお客様の1%未満にあたる134社のファイルに脅威者によるアクセスがあったことが判明。 - 2023-10-17
Okta Securityは、HARファイルに埋め込まれたOktaセッショントークンを無効にする。 - 2023-10-17
Okta Securityは、脅威者がこれらのファイルを使ってお客様のOktaインスタンスにアクセスを試みたかを調査。 - 2023-10-18
Okta Securityは、脅威者が標的とした4社目のOktaのお客様に通知。 - 2023-10-18
Okta Securityは、カスタマーサポートシステムのログに、脅威者がアクセスしていた最後の数時間の欠落があることを確認。クエリを再実行することで、脅威者の行動を完全に把握。 - 2023-10-19
Okta Security は、ログの受信が遅れたためにこれまで発見されなかった、脅威者によってダウンロードされた追加のファイルを特定。 - 2023-10-19
Okta Securityは、脅威者によってダウンロードされた新たに発見されたHARファイルに埋め込まれたOktaセッショントークンを無効にする。 - 2023-10-19
Okta Securityは、脅威者が標的とした5社目で最後の標的だったCloudflareを特定。 - 2023-10-19
Oktaは、セキュリティ担当者の連絡先を登録しているすべてのお客様に警告を発し、セキュリティインシデントによる影響の有無を報告。 - 2023-10-20
Oktaは、https://sec.okta.com/articles/2023/10/tracking-unauthorized-access-oktas-support-systemでパブリックアドバイザリを公開。 - 2023-10-20〜2023-11-02
Oktaは全てのお客様のサポートに専念し、質問に回答し、改善策を展開。 - 2023-11-02
Oktaは、セキュリティ担当者の連絡先を登録しているすべてのお客様に根本的な原因と改善策を通知。 - 2023-11-03
Oktaは、https://sec.okta.com/harfilesで根本原因と改善策を公開。
修復作業
1. 漏洩したサービスアカウントを無効化 (完了)
Oktaは、カスタマーサポートシステムでサービスアカウントを無効にしました。
2. Google Chromeでの個人Googleプロファイルの使用をブロック (完了)
Oktaは、Chrome Enterpriseに特定の設定オプションを実装し、Oktaが管理するノートPCで個人のGoogleプロファイルを使用してChromeにサインインできないようにしました。
3. カスタマーサポートシステムのモニタリング強化 (完了)
Oktaは、カスタマーサポートシステムの検出と監視ルールを追加導入しました。
4. ネットワークロケーションに基づくOkta管理者セッショントークンのバインディング (完了)
Oktaは、Okta管理者に対するセッショントークン盗難の脅威に対抗するための製品強化として、ネットワークロケーションに基づくセッショントークンのバインディングを導入しました。Okta管理者は、ネットワークの変更を検知した場合、強制的に再認証されるようになりました。この機能は、Okta管理者ポータルの早期アクセスセクションでお客様が有効にすることができます。
Follow David Bradbury
