エキシビション 99.2
https://sec.okta.com/harfiles で公開されました
10月のカスタマーサポートのセキュリティインシデント-アップデートと推奨処置
日付:2023年11月29日
Oktaが2023年10月に明らかにしたカスタマーサポート管理システム(Oktaヘルプセンターとも呼ばれます)に影響するセキュリティインシデントを受けて、Okta Securityは11月3日に共有した最初の分析を引き続き見直し、脅威アクターが実行したアクションを再調査しました。これには、脅威アクターがシステムで実行したレポートと、脅威アクターがダウンロードしたファイルを手動で再作成することが含まれていました。
今日、私たちはお客様のセキュリティに影響を与える可能性のある新しい情報を共有しています。
攻撃者は、すべてのOktaカスタマーサポートシステムユーザーの名前とメールアドレスを含むレポートを実行してダウンロードしたと判断しました。FedRAMP High環境とDoD IL4環境(これらの環境では、脅威アクターがアクセスしない別のサポートシステムを使用しています)のお客様を除いて、Okta Workforce Identity Cloud(WIC)とカスタマーアイデンティティソリューション(CIS)のすべてのお客様が影響を受けます。Auth0/CICサポートケース管理システムもこの事件の影響を受けませんでした。
脅威アクターは、2023年9月28日 15:06 UTC に、Oktaのカスタマーサポートシステムの各ユーザーについて次のフィールドを含むレポートを作成しました。
| | | | | | | | | | | | | | |
| 作成日 | 最終ログイン | フルネーム | ユーザー名 | Eメール |
| 会社名 | ユーザータイプ | 住所 | [の日付]最終パスワードの変更またはリセット | 役割:名前 |
| 役割:説明 | 電話 | モバイル | タイムゾーン | SAMLフェデレーションID |
レポートのフィールドの大部分は空白で、レポートにはユーザーの資格情報や機密の個人データは含まれていません。レポートに記載されたユーザーの 99.6% にとって、記録される連絡先情報は氏名とメールアドレスのみです。
この情報が積極的に悪用されているという直接的な知識や証拠はありませんが、脅威アクターがこの情報を利用して、フィッシング攻撃やソーシャルエンジニアリング攻撃を通じてOktaの顧客を標的にする可能性があります。Oktaのお客様は、自分のOkta組織で使用しているのと同じアカウントでOktaのカスタマーサポートシステムにサインインします。カスタマーサポートシステムのユーザーの多くはOkta管理者です。カスタマーサポートシステムを保護するだけでなく、Okta管理コンソールへの安全なアクセスを保護するために、これらのユーザーが多要素認証(MFA)を登録していることが重要です。
名前とメールアドレスがダウンロードされたことを考えると、これらのユーザーを対象としたフィッシング攻撃やソーシャルエンジニアリング攻撃のリスクが高まっていると私たちは考えています。Oktaのお客様の 94% はすでに管理者にMFAを必要としていますが、Oktaのすべてのお客様にMFAを採用し、セキュリティをさらに強化するためにフィッシング防止認証システムの使用を検討することをお勧めします。管理コンソール(クラシックまたはOIE)でMFAを有効にするには、製品ドキュメントを参照してください。
これをどうやって発見したのか
11月3日にRCAが公開された後、Okta Securityは、脅威アクターが実行したアクションの初期分析を見直しました。これには、脅威アクターがカスタマーサポートシステム内で実行したというレポートを手動で再作成することも含まれます。脅威アクターがダウンロードした特定のレポートのファイルサイズが、最初の調査で生成されたファイルサイズよりも大きいことがわかりました。さらに分析した結果、レポートにはすべてのカスタマーサポートシステムユーザーのリストが含まれていることがわかりました。最初の分析の不一致は、脅威アクターがレポートをフィルタリングせずに閲覧していたことに起因しています。11月のレビューでは、テンプレート化されたレポートからフィルターを削除すると、ダウンロードされたファイルはかなり大きくなり、セキュリティテレメトリに記録されたダウンロードファイルのサイズにさらに近いことがわかりました。
また、脅威アクターがアクセスした追加のレポートとサポートケースも特定しました。これには、すべてのOkta認定ユーザーの連絡先情報、一部のOkta Customer Identity Cloud(CIC)の顧客連絡先、およびその他の情報が含まれています。これらのレポートには、Oktaの従業員情報の一部も含まれていました。この連絡先情報には、ユーザーの資格情報や機密の個人データは含まれていません。
私たちは、サードパーティのデジタルフォレンジック会社と協力して調査結果を検証しており、完成次第、レポートをお客様と共有する予定です。
推奨されるベストプラクティスの実装
Okta管理者を標的とする潜在的な攻撃から身を守るために、すべてのお客様にすぐに次の行動を取ることをお勧めします。
•多要素認証(MFA):Oktaのすべてのお客様は、少なくともMFAを使用して管理者アクセスを保護することを強くお勧めします。また、お客様には、管理ユーザーをフィッシング防止認証システム(Okta Verify FastPass、FIDO2 WebAuthn、PIV/CACスマートカードなど)に登録し、すべての管理アプリケーションへのアクセスにフィッシング対策を実施することを強くお勧めします。管理コンソール(クラシックまたはOIE)でMFAを有効にするには、製品ドキュメントを参照してください。
•管理者セッションバインディング:セキュリティインシデントRCAで伝えられているように、お客様はOktaのアーリーアクセス機能を有効にすることができます。この機能では、セッションが別のASN(自律システム番号)のIPアドレスから再利用された場合、管理者に再認証を要求します。Oktaは、管理セッションの安全性を高めるために、お客様がこの機能を有効にすることを強くお勧めします。
•管理セッションタイムアウト:NIST AAL3ガイドラインに準拠し、すべての顧客のセキュリティ体制を強化するために、Oktaは管理者コンソールのタイムアウトを導入しています。デフォルトでは、セッション期間は12時間、アイドル時間は15分です。顧客はこれらの設定を編集することができます。これは、プレビュー組織では11月29日から、本番組織では12月4日から早期アクセス機能として利用できるようになります。この機能は、2024年1月8日までにすべての製造組織で利用できるようになります。11月27日にこの変更に関するメールがすべてのスーパー管理者に送信されました。その連絡のコピーは、ナレッジベースの記事「管理者セッションの有効期間/アイドルタイムアウト」のセキュリティ強化にあります。
•フィッシング認識:さらに、Oktaのお客様は、従業員を狙ったフィッシング詐欺に警戒する必要があります。特に、ITヘルプデスクや関連サービスプロバイダーを狙うソーシャルエンジニアリングの試みには注意が必要です。Oktaのお客様には、登録、認証、復旧に業界最先端のフィッシング防止方法を実装することをお勧めします。組織をフィッシングから保護する方法の詳細については、Oktaのフィッシング対策ソリューションをご覧ください。また、特権アカウントでパスワードやファクタリセットなどのリスクの高いアクションを実行する前に、ITヘルプデスクの検証プロセスを見直し、目視による確認などの適切なチェックが行われていることを確認することを強くお勧めします。