国際的ハッカーグループの「LAPSUS$」は、NVIDIAやSamsung、Microsoftといった企業にハッキングを仕掛けたことで知られ、2022年1月には企業向けのアクセス管理サービスを提供するOktaにハッキングを仕掛けたことも判明しています。Oktaの対応については、「被害を軽視している」といった非難も寄せられていましたが、ついにOktaがこの件に関して最終的な調査結果を報告しました。
Okta Concludes its Investigation Into the January 2022 Compromise | Okta
https://www.okta.com/blog/2022/04/okta-concludes-its-investigation-into-the-january-2022-compromise/
Okta says Lapsus$ breach lasted 25 minutes, impacted two customers | VentureBeat
https://venturebeat.com/2022/04/19/okta-says-lapsus-breach-lasted-25-minutes-impacted-two-customers/
Okta Inc. Concludes Investigation of January Data Breach – MarketWatch
https://www.marketwatch.com/story/okta-inc-concludes-investigation-of-january-data-breach-271650406299
2022年3月22日、LAPSUS$のメンバーがTelegramチャネルに投稿した「Oktaの内部管理パネルにアクセスしたことを示すスクリーンショット」がSNSに出回りました。このツイートを受けてOktaのトッド・マッキノンCEOは、「2022年1月下旬に委託業者であるサードパーティーのカスタマーサポートエンジニアのアカウントを侵害する試みを検出しました」と述べてハッキングを認めました。しかし、Oktaの最高セキュリティ責任者であるデビッド・ブラッドベリー氏は、サービス自体は侵害されず完全に動作したままだとして、重大な被害はなかったと主張。こうした対応については、「Oktaは攻撃を可能な限り軽視しようとしている」「顧客は警戒を強めるべき」といった非難の声も上がっていました。
数多くの大企業を襲って注目を集めるハッカー集団「LAPSUS$」がアクセス管理企業のOktaにハッキングを仕掛けたことが判明 – GIGAZINE
ハッキングの発覚から約1カ月が経過した4月19日のブログで、ブラッドベリー氏は「2022年1月のサードパーティーベンダーの侵害に関する調査を終了しました」と述べ、最終的な調査結果を報告しました。一連の調査結果は、「社内のセキュリティ専門家と世界的に認められたサイバーセキュリティ企業」により行われたとのこと。
ブラッドベリー氏によると、今回ハッキングを受けたのは「Sitel」というサードパーティーベンダーのカスタマーサポートエンジニアだそうです。調査開始の時点では、ハッカーはサポートエンジニアのアカウントを通じて、1月16日~21日の5日間にわたり合計366の顧客テナントにアクセス可能だったとされていました。
ところが、その後の調査により、実際の被害は当初想定されていた最悪の可能性よりもかなり小さいことがわかったとのこと。具体的には、ハッカーがサポートエンジニアのアカウントを制御できたのは1月21日のうち約25分間に限られ、アクセスしたのは2つの顧客テナントのみだったそうで、影響を受けた2つの顧客には個別に連絡しているとブラッドベリー氏は説明しています。
ハッカーが行ったアクションについては、「SlackやJiraなどのアプリケーションで、Oktaの顧客テナントでは実行できない、限られた追加情報を表示しました」「脅威アクターは構成の変更、多要素認証やパスワードのリセット、カスタマーサポートの『偽装』イベントなどを正常に実行できませんでした」「脅威アクターは、どのOktaアカウントに対しても直接認証できませんでした」と述べ、侵害の全体的な影響は当初の想定よりも大幅に小さかったとまとめました。
実際の被害は少なかったものの、ブラッドベリー氏は「この種の侵害がお客さまおよびOktaへの信頼に大きな損害を与える可能性があることを理解しています」と述べ、一連の対応については問題があったと認めています。そのため、被害を受ける可能性があったすべての顧客に「世界的なサイバーセキュリティフォレンジック企業が作成した最終的な調査報告書」「サードパーティーのセキュリティを強化するOktaのセキュリティアクションプラン」を提供したと述べています。
また、Oktaは今回の事件を受けて、サードパーティーの委託業者に対するセキュリティ要件を改め、ゼロトラストのセキュリティアーキテクチャを採用することにしたほか、侵害を受けた委託業者のSitelとの契約を打ち切ったとのことです。
この記事のタイトルとURLをコピーする