Okta、2023年10月のセキュリティインシデントに関する調査を終了

Oktaが調査を委託した大手サイバーセキュリティフォレンジック会社Stroz Friedbergは、2023年10月公表のセキュリティインシデントに関する独立調査を終了しました。Oktaの調査の結論に変更はなく、Stroz Friedbergは、Oktaがこれまでに判断した以上の悪質な脅威活動の証拠がないことを確認しました。2023年10月公表のセキュリティインシデントのフォレンジック報告書は、Oktaのお客様とパートナー様にご提供しております。これにより、Oktaによるこのインシデントに関する調査は完了しましたが、セキュリティを最優先することは今後も最優先事項です。Oktaは、業界のためにセキュアなアイデンティティへの取り組みをさらに進めていきます。

当社の対応の一環として、この脅威情報の法執行機関との共有、規制当局への通知、侵害の指標（IOC）の公表を行い、影響を受けたお客様向けにカスタマイズした影響報告書を提供しました。この報告書とともに、フィッシングやソーシャルエンジニアリング攻撃の可能性を軽減するための推奨事項を共有しました。

さらにOktaは、カスタマーサポートシステムであるOkta Help Centerのセキュリティを見直し、強化するために多くの施策を実施しました。また、お客様の管理者にアクセスをプロビジョニングする方法とタイミング、システムのデータ保持ポリシーも変更します。

Oktaの本番サービスには影響はありませんでしたが、お客様がより安全にご利用いただけるよう、引き続き製品の強化に努めており、お客様のセキュリティ体制を向上させる設定を推奨してまいります。最近発表した機能には、Oktaテナントにおける管理者アクセスの保護、セッションセキュリティの強化、ロケーションベースのアクセス制御の強化などがあります。

• Okta管理者のゼロスタンディング特権： 管理者ロールが、アクセスが必要な期間だけ、許可されたユーザーに要求、承認、割り当てられるようにします。
• Admin Consoleで保護されたアクションにMFAが必要： 管理者が重要なアクションを実行する際にステップアップ認証を要求することで、Oktaの重要なアクションに対する追加の保護レイヤーを提供します。
• ダイナミックゾーンにおいて、アノニマイザーからOktaエンドポイントへのリクエストを検出しブロックする機能： 重要な資産（Admin Console、アプリダッシュボードなど）を保護し、指定したVPN、匿名プロキシなどからのリクエストをブロックできるようにします。
• Okta製品およびAdmin ConsoleにIPバインディングを適用： セッション中に送信元IPが変更された場合、Oktaセッションを無効化し、セッションの乗っ取りを防止できるようになりました。これは、管理者セッションをバインドするための初期修復アクションに追加されます。
• APIに対してAllowlisted Network Zoneを強制： 攻撃者やマルウェアがSSWSトークンを盗んだり、不正アクセスのために指定されたIP範囲外で再生したりすることを制限します。

Oktaはセキュリティを第一に考えています。お客様、Oktaの製品、サービス、そしてOktaの社内システムの安全を確保するための投資と機能強化を継続して行っています。今回の調査は終了しましたが、私たちの仕事はこれで終わりではありません。お客様やその他の方々と協力することで、私たちは業界におけるセキュリティ慣行の水準を高めることができると確信しています。今後数週間のうちに発表されるさらなる進展にご期待ください。