10月公表のカスタマーサポート管理システムのセキュリティインシデントに関する最新情報と対策
Oktaが2023年10月に公表したカスタマーサポート管理システム(Okta Help Center)に対するセキュリティインシデントを受け、Okta Securityは11月3日(米国時間)に共有した初期分析のレビューを継続し、脅威者が実行した行動を調査いたしました。これには、脅威者がカスタマーサポート管理システム内で実行したレポートや、脅威者がダウンロードしたファイルを手動で再現することも含まれております。
本日、お客様のセキュリティに影響を及ぼす可能性のある新たな情報を共有いたします。
追加調査の結果、脅威者がOktaカスタマーサポート管理システムのユーザーの名前と電子メールアドレスを含むレポートをダウンロードしたことを確認しました。FedRamp HighとDOD IL4環境(これらの環境では、脅威者がアクセスしたシステムとは別のサポート管理システムを使用)のお客様を除く、すべてのOktaのWorkforce Identity Cloud (WIC)とCustomer Identity Solution (CIS)のお客様が影響を受けております。Auth0/Customer Identity Cloud (CIC) サポートケース管理システムは、このインシデントによって影響を受けておりません。
脅威者は、2023年9月28日15:06 UTC(協定世界時)に、Oktaのカスタマーサポートシステムの各ユーザーの以下のフィールドを含むレポートを実行しました。
Created Date |
Last Login |
Full Name |
Username |
|
Company Name |
User Type |
Address |
[Date of] Last Password Change or Reset |
Role: Name |
Role: Description |
Phone |
Mobile |
Time Zone |
SAML Federation ID |
レポートのフィールドの大部分は空白で、レポートにはユーザー認証情報や機密性の高い個人情報は含まれておりません。レポート内の99.6%のユーザーについて、記録されている連絡先情報はフルネームとメールアドレスのみです。
この情報が悪用されているという直接的な証拠はありませんが、脅威者がこの情報を使って、フィッシングやソーシャルエンジニアリング攻撃でOktaのお客様を標的にする可能性があります。Oktaのお客様は、自社のOkta orgで使用しているのと同じアカウントでOktaのカスタマーサポート管理システムにサインインします。カスタマーサポート管理システムのユーザーの多くはOktaの管理者です。カスタマーサポート管理システムだけでなく、Okta管理コンソールへのアクセスを保護するためにも、多要素認証(MFA。MFAとは?)を登録していることが重要です。
ss名前と電子メールアドレスがダウンロードされたことから、これらのユーザーを狙ったフィッシングやソーシャルエンジニアリング攻撃のリスクが高まっていると思われます。Oktaをご利用のお客様の94%はすでに管理者のMFAを必須としていますが、セキュリティをさらに強化するために、すべてのOktaのお客様がMFAを採用し、フィッシングに強い認証ツールの使用を検討していただくことをお勧めいたします。管理コンソール(ClassicまたはOIE)のMFAを有効にするには、製品マニュアルをご参照してください。
経緯
11月3日(米国時間)に根本原因分析(RCA)が公表された後、Okta Securityは、脅威者がカスタマーサポート管理システム内で実行したレポートを手動で再作成するなど、脅威者が実行したアクションの初期分析を見直しました。その結果、脅威者によってダウンロードされたある特定のレポートのファイルサイズが、最初の調査で生成されたファイルよりも大きいことを確認いたしました。さらなる分析により、このレポートにはカスタマーサポート管理システムの全ユーザーのリストが含まれていると結論づけました。私たちの初期分析における相違は、脅威者がフィルタリングされていないレポートを実行したことに起因しています。11月のレビューで、レポートからフィルターを取り除いた場合、ダウンロードされたファイルサイズが大きくなり、当社のセキュリティテレメトリーに記録されたファイルダウンロードのサイズとほぼ一致することが確認されました。
また、脅威者がアクセスした追加のレポートとサポートケースを確認いたしました。これらのレポートには、すべてのOkta認定ユーザーの連絡先情報、一部のOkta Customer Identity Cloud(CIC)顧客の連絡先情報、一部のOktaの従業員情報も含まれておりました。この連絡先情報には、ユーザーの認証情報や機密性の高い個人情報は含まれておりません。
現在、第三者のデジタルフォレンジック会社と協力して調査結果の検証を行っており、完了次第、レポートをお客様に公開する予定です。
推奨対策の実施
Okta管理者を狙った潜在的な攻撃から身を守るため、すべてのお客様に直ちに以下の対策を講じることをお勧めいたします。
- 多要素認証(MFA): Oktaをご利用のお客様には、最低限MFAを使用して管理者アクセスを保護することを強くお勧めいたします。 また、フィッシングに強い認証機能(Okta Verify FastPass、FIDO2 WebAuthn、PIV/CACスマートカードなど)に管理ユーザーを登録し、すべての管理アプリケーションへのアクセスにフィッシングに強い認証機能を導入することを強くお勧めいたします。管理コンソール(ClassicまたはOIE)のMFAを有効にするには、製品マニュアルをご参照してください。
- 管理者セッションのバインディング: RCAでお知らせしたとおり、Oktaでは、異なるASN(Autonomous System Number)を持つIPアドレスからセッションが再利用された場合、管理者に再認証を要求する早期アクセス機能を有効にすることができます。Oktaでは、管理者セッションのセキュリティを高めるため、この機能を有効にすることを強く推奨しております。
- 管理者セッションのタイムアウト: NIST AAL3ガイドラインに準拠し、すべてのお客様のセキュリティ態勢を強化するため、Oktaは管理者コンソールのタイムアウトを導入し、デフォルトで12時間のセッション時間と15分のアイドル時間が設定されます。お客様はこれらの設定を変更することができます。この機能は、11月29日(米国時間)からPreview Org向けに早期アクセス機能として提供され、12月4日(米国時間)から本番Org向けに提供されます。この機能は、1月8日(米国時間)までにすべての本番Orgで一般利用可能になる予定です。この変更に関するメールは11月27日(米国時間)に全スーパー管理者に送られました。本件に関する連絡はこちらで見ることができます。
- フィッシングの注意: Oktaのお客様は、従業員を狙ったフィッシングに警戒し、特にITヘルプデスクや関連サービスプロバイダーを狙ったソーシャルエンジニアリング攻撃にご注意ください。Oktaのお客様には、登録、認証、リカバリにおいて、フィッシングに強い方法を導入することをお勧めいたします。フィッシングから組織を保護するための詳細については、Oktaフィッシング対策ソリューションをご覧ください。また、ITヘルプデスクの認証プロセスを見直し、特権アカウントのパスワードやファクターのリセットなど、リスクの高いアクションを実行する前に、目視確認などの適切なチェックを行うことを強くお勧めいたします。