不正アクセスは「Okta」を媒介　ユーザーが報告した“不審な動き”とは：IAMツール「Okta」を狙った攻撃の詳細

IAMツールベンダーOktaが2023年9月に攻撃を受けた。同社による報告や、影響を受けたユーザー企業の報告から詳細が明らかになった。セキュリティ業界を揺るがしたこの攻撃では何が起きていたのか。

≫ 2023年12月19日 07時30分公開

[Alexander Culafi，TechTarget]

印刷／PDF

複数のユーザー企業が報告　「セキュリティ不十分」との指摘も

併せて読みたいお薦め記事

Oktaはどのような企業なのか

　Oktaの説明によれば、攻撃者は認証情報を盗んで同社の顧客サポート管理システムに侵入し、ユーザー企業のデータにアクセスした。攻撃を受けたユーザー企業5社のうち、3社は自社の公式ブログで攻撃の情報を公開した。3社はパスワード管理ツールを手掛ける1Password、アクセス管理ツールベンダーのBeyondTrust、コンテンツデリバリーネットワーク（CDN）やセキュリティ製品を提供するCloudflareだ。

　1PasswordのCTO（最高技術責任者）ペドロ・カナフアティ氏によれば、同社は2023年9月にシステムへの侵入を検知した。BeyondTrustは2023年10月、Okta製品による情報漏えいがあった可能性をOktaに報告した。Cloudflareは同社公式ブログで、Oktaのセキュリティ対策が不十分だと批判している。

　今回の攻撃の時期についてOktaのブラッドベリー氏は、2023年9月28日から2023年10月17日（いずれも米国時間）にかけ、攻撃者とみられる何者かがOktaの顧客サポート管理システム内のファイルに不正にアクセスしたと説明する。同社によれば、そのファイル数は全体の1％未満だ。ファイルの中には、ユーザー企業のシステムに入り込むためのトークンが含まれていたという。1Password、BeyondTrust、Cloudflare以外、被害があったユーザー企業2社の社名は公表されていない。

　Oktaの認証情報が盗まれた経緯について、同社従業員のGoogleアカウント（Google製品の共通アカウント）から流出した可能性があるとブラッドベリー氏は説明する。盗まれた認証情報には顧客サポート管理システムを閲覧・更新するための権限が含まれていたという。

　1Passwordから報告を受けて、Oktaは攻撃についての調査を始めた。だがしばらくの間、不審な動きを確認できなかったという。同社の顧客サポート管理システムでは誰かがファイルを開いたり変更したりすれば、その記録が残る。しかし今回は、攻撃を特定できる記録はなかったとOktaは説明する。同社はBeyondTrustの報告を受けたことを機に、別の記録から攻撃を特定できたということだ。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ