piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

サポートケース管理システムへの不正アクセスから派生して行われたサイバー攻撃についてまとめてみた

2023年10月23日、Oktaは自社のサポートケース管理システムへ不正アクセスがあり、一部のOktaのユーザー企業がアップロードしたファイルを閲覧されたと公表しました。窃取されたファイルには認証情報などが含まれる場合があり、このファイルを悪用したとみられる活動を検知したとBeyondTrust、Cloudflare、1Passwordがそれぞれ対応などを公開しています。ここではこれら関連する情報をまとめます。

サポートシステムから顧客の認証情報を窃取

  • Oktaが不正アクセスの被害にあったのはサポートケース管理システム。攻撃者は不正アクセス後に特定のOktaユーザー企業がサポートシステム上にアップロードされたHARファイルを窃取していたとみられる。
  • Oktaはサポートケース管理システムへの不正アクセスに際し、システム自体に保存されている認証情報が悪用されたと説明。サービスアカウントはサポートケースの表示、更新の権限が付与されていた。盗まれた経緯については明確な説明は行われていないが、Oktaの従業員が管理するラップトップPCでChromeを使用しており、このブラウザでは個人プロファイルのログインが行われていた。加えて、このプロファイルにサービスアカウントのユーザーID、パスワードが保管されていた。Oktaは認証情報の流出は個人PCで使用していたGoogleアカウント、あるいは個人のデバイス自体が侵害されていた可能性があると説明。
  • HAR(HTTPアーカイブ)ファイルは、ブラウザ上で生成される通信などのやり取りに関するデータなどをまとめたもので、Oktaは通常時よりサポートを行う際にユーザー企業へアップロードの要求を行う運用をしていた。HARファイルには第三者がなりすまして不正利用することが可能なcookieやセッショントークンなどが含まれる場合があり、Oktaは共有前にHARファイルに含まれるすべての資格情報とcookie、セッショントークンを削除するよう推奨していると説明。
  • Oktaは不正アクセスによって影響を受けたとみられるユーザー企業に対し連絡を取っており、公表時点で連絡がなければOktaの環境やサポートチケットに対して影響はないとしている。加えて今回不正アクセスに遭ったサポートシステムは、本番環境のOktaシステムやAuthO/CICのケース管理システムとは別であるため影響を受けないと説明。また自組織でも調査を可能とするようインディケーター情報(IPアドレス、ユーザーエージェント)を公開した。影響を受けたBeyondTrustも同様に調査に有効な侵害の兆候にかかる情報を掲載した。
サポートケース管理システムへの不正アクセスより派生して行われた攻撃の流れ
  • Oktaは今回の件を受け、次の4つの対応を行ったことを説明。
  1. 侵害されたカスタマーサポートシステムのサービスアカウント無効化
  2. Chrome Enterprise内の実装によりGoogle Chrome での個人 Google プロファイルの使用ブロック
  3. カスタマーサポートシステム用に追加の検出ルール、監視ルールを導入し監視を強化
  4. ネットワークロケーションに基づくOkta管理者セッショントークンのバインド
サポートシステム登録の全顧客への影響が事後調査で判明
  • Oktaはこのインシデントで攻撃者が行ったレポートの再作成など内部で行われた行為についてレビューを実施したところ、2023年9月28日に攻撃者がダウンロードしていた特定のレポートファイルのサイズが当初調査と比べ大きかったことを把握した。そして更に分析を行った結果、このレポート中にカスタマーサポートシステムの全ての顧客リストが含まれていることが判明した。当初調査との差異が生じた経緯として、攻撃者がフィルタリングがされていないビューを実行していたことに起因するとOktaは説明。攻撃者が行ったものに則して実行した結果、セキュリティテレメトリに記録されいてたダウンロードサイズとより厳密に一致することとなった。
  • 盗まれた情報にはFedRamp High および DoD IL4 環境の顧客を除く、Okta Workforce Identity Cloud (WIC) および Customer Identity Solution (CIS) のすべての顧客が含まれている他、一部のOktaの従業員情報も影響を受けていた。ただし、顧客の資格情報や機密の個人データは含まれていないとしている。
  • 攻撃者がサポートシステムに対して次の項目を含むレポートを出力していたが、大半は空白で99.6%の連絡先情報は氏名とメールアドレスのみとOktaは説明している。
    作成日、前回のログイン日、フルネーム、ユーザー名、メールアドレス、会社名、ユーザータイプ、住所、パスワードリセット・変更の最終日、役割(名前、説明)、電話番号、携帯電話番号、タイムゾーン、SAMLフェデレーションID

影響を受けた各社の対応

  • Oktaに共有したHARファイルを攻撃者に窃取されたことで、自社のOktaの管理者アカウントに不正アクセスを試みようとする動きがあったとして、BeyondTrust、Cloudflareの2社が対応や状況をまとめた記事を公開した。2社ともOktaよりも早く攻撃があったことを検知しており、自社のサービスへの影響はない、または最小限に抑えられたとしている。またその後1Passwordも影響を受けていたことを明らかにしており、2社よりも早い9月29日に不審な活動が検出されていた。
  • BeyondTrustがOktaに対してインシデント懸念の連絡を10月2日に行うも、Okta側が問題を認めたのは10月19日と2週間以上が経過してからであった。最も報告の早かった1Passwrdのケースでは、Oktaは当初1Password側がマルウエアに感染、またはフィッシングの被害にあった可能性が高いと想定して調査にあたっていた。
  • その後の調査を通じて、影響を受けた顧客数は134、さらに盗まれたセッショントークンを使用して5つの顧客に対してハイジャックを行っていた。
BeyondTrustのケース (2023年10月20日公表)

BeyondTrust Discovers Breach of Okta Support Unit

  • BeyondTrust(以下BT社と表記)が不審な活動を検出したのは10月2日。Oktaのサポート担当者からBT社のOkta管理者に対して、管理者が対応している継続的なサポートの問題解決を支援するため、HARファイルを送信するよう要求。BTの管理者は要求に従いAPIリクエストとHARファイルを生成しOktaのサポートポータルサイトにアップロードを行った。
  • アップロードから30分以内にVPNに関係のあるマレーシアのIPアドレスからBT社のOkta管理者アカウントで管理コンソールへのアクセスが発生。このIPアドレスの所在地はこれまでの認証イベントやアクティビティで確認されたものではなかった。攻撃者はそのまま認証されてしまったが、BT社は独自のOktaセキュリティポリシーを構成しており、Oktaの管理コンソールへのアクセスは拒否された。ポリシーは既定でアクセスを拒否し、特定の基準が満たされた場合にのみ許可されるものと、管理対象端末上でOkta Verifyを要求するものの2点。
  • 攻撃者はAPIを通じてパスワードの健全性レポートを生成、偽のサービスアカウントの作成をしようと試行。さらにダッシュボードへのアクセスも試みるもMFAが有効となっていた。
Cloudflareのケース (2023年10月21日公表)

How Cloudflare mitigated yet another Okta compromise

  • Cloudflareが不審な活動を検出したのは10月18日。攻撃では2件の従業員のアカウントに対して侵害をしたことが確認された。侵害後に速やかに対応を行ったことから、Cloudflareの顧客への影響は生じなかったとしている。
  • CloudflareはOktaのユーザー企業だけでなくOkta自身に対しても推奨する対応、対策について説明。BT社が報告した10月2日からCloudflareが攻撃に遭う10月18日までの間、攻撃者がサポートケース管理システムにアクセス可能な状態が続いていたとして、Oktaに対してはセキュリティ侵害の報告を真剣に受け止め損害を最小限に抑えるために速やかに行動を起こすよう促すなどしている。
  • CloudflareがOktaユーザー企業に対して推奨する事項は以下の通り。
    • すべてのユーザーアカウントでハードウェアのMFAを導入
    • Oktaインスタンスの予期しないパスワード変更とMFAの変更、サポートが行った不審なイベントなど不審な活動痕跡を確認した際の調査及びパスワードリセットの確認と対応
    • Oktaアカウントの作成など攻撃者が行う活動痕跡の監視
    • セッション有効期限ポリシーを確認(セッションハイジャック攻撃の制限)
    • ツールなどを利用し重要なシステムに接続されているデバイスの検証
    • 検出及び監視対応を行うため多層防御を実践
1Passwordのケース(2023年10月23日公表)

Okta Support System incident and 1Password

  • 1Passwordが従業員向けアプリの管理に利用しているOktaで不審な活動を検出したのは9月29日。それ以降、Oktaと協力して初期侵入の方法について調査を進めていた。Oktaのサポートケース管理システムに問題があったと確認したのは10月20日遅くであった。
  • 1Passwordがその後行った「徹底的な調査」によれば、1Passwordのユーザーおよび従業員のデータや機密システムへアクセスは行われていないと結論に至ったと説明。

関連タイムライン

日時 出来事
2023年9月28日 Oktaのサポートケース管理システムに対して不正アクセスが行われ始める。
2023年9月29日 1PasswordがOktaインスタンスで不審な活動を検出。
2023年10月2日 BT社のOkta管理者アカウントの不審な認証発生。Oktaのサポートへ懸念連絡。
2023年10月3日 BT社がOktaのサポートケース管理システムが侵害された可能性が高いと結論。OktaのセキュリティチームへのエスカレーションをOktaのサポートへ要求。
2023年10月11日 Oktaサポート、セキュリティ担当者とZoomミーティング。BT社は調査結果を共有しサポートケースデータへアクセスに関連する追加のログを要求。
2023年10月13日 BT社が影響を受けたところが他にいる懸念をサポートへ連絡。
2023年10月18日 Cloudflareの従業員向けのOktaアカウント2件に不審な認証。
同日 Oktaが4件目のセッションハイジャックが行われた顧客へ連絡。
2023年10月19日 BT社がOktaのセキュリティ担当のリーダーと電話連絡。Okta内で侵害を確認しBT社も影響を受けた1社と報告。
同日 Oktaが5件目のセッションハイジャックが行われた顧客へ連絡。
2023年10月20日 Oktaがサポートケース管理システムの不正アクセスについて公表。
同日 BT社がOktaの侵害の影響を受けていたと公表。
2023年10月21日 CloudflareがOktaの侵害の影響を受けていたと公表。
2023年11月2日 全てのOktaの顧客に対して根本原因とその対応について通知。
2023年11月3日 Oktaが根本原因と対応した内容について公開。

更新履歴

  • 2023年10月24日 AM 新規作成
  • 2023年10月24日 AM 1Passwordが影響を受けたことについて追記。
  • 2023年11月5日 PM 続報反映(根本原因等)
  • 2023年11月30日 PM 続報反映(全顧客情報の窃取等事後調査)