1Password Detects Suspicious Activity on Okta Account: A Close Call for Millions of Users
タグ:1Password、Okta、セキュリティ、データ侵害、パスワードマネージャー
2023年10月23日、パスワードマネージャーである1Passwordは、Oktaから提供された企業アカウントで不審な活動を検出したと発表しました。Oktaは、金曜日に侵害が発生したことを公表しています。1PasswordのCTOであるPedro Canahuatiは、「9月29日、従業員向けのアプリを管理するために使用しているOktaインスタンスで不審な活動を検出しました」と電子メールで述べています。「私たちはすぐにその活動を終了し、調査を行いましたが、従業員向けまたはユーザー向けのユーザーデータや他の重要なシステムには侵害はありませんでした」と続けています。
その後、Canahuati氏によれば、同社はOktaと協力して、不明な攻撃者がアカウントにアクセスするために使用した手段を特定しようとしていました。金曜日、調査員はOktaの顧客サポート管理システムに影響を与える侵害が報告されたことを確認しました。
セキュリティ企業BeyondTrustは、攻撃者が有効な認証クッキーを使用してOktaアカウントにアクセスしようとしたことを発見しました。攻撃者は「いくつかの制限されたアクション」を実行できましたが、最終的にBeyondTrustのアクセスポリシー制御が活動を停止し、アカウントへのアクセスをすべてブロックしました。1Passwordは、フォローアップ攻撃の標的となった2番目のOktaの顧客となります。
1Passwordからの声明は、事件についての詳細は提供されておらず、代表者も質問には答えていませんでした。1Passwordの内部Notionワークスペースで共有された2023年10月18日のレポートによると、脅威のアクターは、最近Oktaサポートとやり取りした1PasswordのIT従業員が作成したHARファイルを入手しました。このファイルには、1Passwordの従業員のブラウザとOktaサーバー間のすべてのトラフィック、セッションクッキーを含む記録が含まれていました。
1Passwordの代表者は、匿名の1Passwordの従業員によってテキストとスクリーンショットの両方で提供された文書の信頼性を確認するための要求には応じませんでした。
レポートによると、攻撃者は1PasswordのOktaテナントにもアクセスしました。Oktaの顧客は、これらのテナントを使用して、さまざまな従業員、パートナー、または顧客に割り当てられたシステムアクセスとシステム特権を管理します。脅威のアクターはまた、1PasswordのOktaテナントでグループの割り当てを表示し、他のアクションも実行しましたが、イベントログにはエントリはありませんでした。ログインしている間、脅威のアクターはGoogleが提供する本番環境に認証するために使用されるIDP(Identity Provider)として知られるものを更新しました。
1PasswordのITチームは、9月29日にアクセスがあったことを知りました。チームメンバーは、1Passwordの従業員がOktaテナントへの管理者権限を持つユーザーのリストをリクエストしたと示唆する予期しないメールを受け取りました。チームメンバーは、認可された従業員がそのリクエストを行ったわけではないことに気付き、企業のセキュリティ対応チームに警告しました。事件が明るみに出た後、1PasswordはOktaテナントの設定を変更し、非-Oktaアイデンティティプロバイダからのログインを拒否するなどの対策を取りました。
攻撃者が行ったアクションの概要は以下の通りです:
– 10月2日、イベントの3日後、攻撃者は1PasswordのOktaテナントに再びログインし、以前に有効にしたGoogle IDPを使用しようとしました。攻撃者は失敗しました。IDPは削除されていました。以前のアクセスとその後のアクセスは、米国のクラウドホストLeaseWebが提供するサーバーから行われ、Windowsマシン上のChromeのバージョンが使用されました。
Oktaの侵害は、近年、多数の顧客にソフトウェアやサービスを提供する大企業を標的にした一連の攻撃の1つです。攻撃者は、プロバイダーに入り込んだ後、顧客を標的にしたフォローアップ攻撃を行います。今後数週間でさらに多くのOktaの顧客が特定される可能性があります。
この事件は、1Passwordのユーザーと顧客にとって危機的な状況でした。幸いにも、ユーザーデータや他の重要なシステムには侵害はありませんでしたが、攻撃者がアクセスできた範囲は懸念事項です。セキュリティ企業BeyondTrustのアクセスポリシー制御が攻撃を阻止したため、被害は最小限に抑えられました。
ユーザーは、このような事件から学ぶべき重要な教訓があります。まず第一に、強力なパスワードを使用し、定期的に変更することが重要です。また、2要素認証やバイオメトリクスなどの追加のセキュリティ機能を使用することもお勧めです。さらに、パスワードマネージャーの使用は、複数のアカウントで一意のパスワードを維持するための便利な方法です。しかし、この事件からわかるように、パスワードマネージャー自体も攻撃の標的になる可能性があるため、信頼性の高いサービスを選択することが重要です。
最後に、企業側はセキュリティ対策を強化する必要があります。定期的なセキュリティ監査やトレーニング、最新のセキュリティパッチの適用など、セキュリティのベストプラクティスを実施することが不可欠です。また、攻撃者が顧客へのアクセスを試みる可能性があるため、顧客への通知とサポートも重要です。
この事件は、セキュリティの重要性を再確認する機会となりました。ユーザーと企業は、常にセキュリティに対する意識を高め、最新の脅威に対する対策を講じる必要があります。
注意
- この記事はAI(gpt-3.5-turbo)によって自動生成されたものです。
- この記事はHackerNewsに掲載された下記の記事を元に作成されています。
1Password detects “suspicious activity” in its internal Okta account - 自動生成された記事の内容に問題があると思われる場合にはコメント欄にてご連絡ください。