検索
特集/連載

不正アクセスは「Okta」を媒介 ユーザーが報告した“不審な動き”とはIAMツール「Okta」を狙った攻撃の詳細

IAMツールベンダーOktaが2023年9月に攻撃を受けた。同社による報告や、影響を受けたユーザー企業の報告から詳細が明らかになった。セキュリティ業界を揺るがしたこの攻撃では何が起きていたのか。

Share
Tweet
LINE
Hatena

 IDおよびアクセス管理(IAM)ツールベンダーOktaは2023年11月、同社の顧客サポート管理システムが受けていた攻撃について詳細を公表した。それによると、同社のユーザー企業5社が攻撃によってシステムを侵害されていた。

複数のユーザー企業が報告 「セキュリティ不十分」との指摘も

 Oktaの説明によれば、攻撃者は認証情報を盗んで同社の顧客サポート管理システムに侵入し、ユーザー企業のデータにアクセスした。攻撃を受けたユーザー企業5社のうち、3社は自社の公式ブログで攻撃の情報を公開した。3社はパスワード管理ツールを手掛ける1Password、アクセス管理ツールベンダーのBeyondTrust、コンテンツデリバリーネットワーク(CDN)やセキュリティ製品を提供するCloudflareだ。

 1PasswordのCTO(最高技術責任者)ペドロ・カナフアティ氏によれば、同社は2023年9月にシステムへの侵入を検知した。BeyondTrustは2023年10月、Okta製品による情報漏えいがあった可能性をOktaに報告した。Cloudflareは同社公式ブログで、Oktaのセキュリティ対策が不十分だと批判している。

 今回の攻撃の時期についてOktaのブラッドベリー氏は、2023年9月28日から2023年10月17日(いずれも米国時間)にかけ、攻撃者とみられる何者かがOktaの顧客サポート管理システム内のファイルに不正にアクセスしたと説明する。同社によれば、そのファイル数は全体の1%未満だ。ファイルの中には、ユーザー企業のシステムに入り込むためのトークンが含まれていたという。1Password、BeyondTrust、Cloudflare以外、被害があったユーザー企業2社の社名は公表されていない。

 Oktaの認証情報が盗まれた経緯について、同社従業員のGoogleアカウント(Google製品の共通アカウント)から流出した可能性があるとブラッドベリー氏は説明する。盗まれた認証情報には顧客サポート管理システムを閲覧・更新するための権限が含まれていたという。

 1Passwordから報告を受けて、Oktaは攻撃についての調査を始めた。だがしばらくの間、不審な動きを確認できなかったという。同社の顧客サポート管理システムでは誰かがファイルを開いたり変更したりすれば、その記録が残る。しかし今回は、攻撃を特定できる記録はなかったとOktaは説明する。同社はBeyondTrustの報告を受けたことを機に、別の記録から攻撃を特定できたということだ。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る