Oktaのハッカーが大規模な情報漏洩で全カスタマーサポートユーザーのデータを盗んだ

Okta Security Incident: Impact on Customer Support System Users

タイトル:Oktaセキュリティインシデント:カスタマーサポートシステムユーザーへの影響

タグ:Okta、セキュリティインシデント、カスタマーサポートシステム、フィッシング攻撃、マルチファクタ認証

Oktaは、2023年10月に開示したセキュリティインシデントに関連して、Oktaセキュリティが11月3日に共有した初期の分析を再評価し、脅威行為者が実行したアクションを再検証しています。これには、脅威行為者がシステム内で実行したレポートの手動再作成やダウンロードしたファイルなどが含まれます。

本日、私たちはお客様のセキュリティに潜在的な影響を与える新しい情報を共有します。

私たちは、脅威行為者がOktaのカスタマーサポートシステムのユーザーの名前とメールアドレスを含むレポートを実行してダウンロードしたことを特定しました。Okta Workforce Identity Cloud(WIC)およびCustomer Identity Solution(CIS)のお客様は、脅威行為者がアクセスした別のサポートシステムを使用していない限り、影響を受けます。また、Auth0/CICのサポートケース管理システムもこのインシデントの影響を受けていません。

脅威行為者は2023年9月28日15:06(協定世界時)にレポートを実行し、Oktaのカスタマーサポートシステムの各ユーザーに対して以下のフィールドを含むレポートを作成しました:

– 作成日

– 最終ログイン

– フルネーム

– ユーザー名

– メールアドレス

– 会社名

– ユーザータイプ

– 住所

– 最終パスワードの変更またはリセットの日付

– ロール:名前

– ロール:説明

– 電話番号

– 携帯電話番号

– タイムゾーン

– SAML連携ID

レポートのほとんどのフィールドは空白であり、レポートにはユーザーの認証情報や個人データは含まれていません。レポートの99.6%のユーザーには、フルネームとメールアドレスの連絡先情報のみが記録されています。

この情報が現在積極的に悪用されているという直接の知識や証拠はありませんが、脅威行為者がこの情報を使用してOktaの顧客をフィッシング攻撃やソーシャルエンジニアリング攻撃の標的にする可能性があります。Oktaの顧客は、自身のOkta組織で使用するアカウントでOktaのカスタマーサポートシステムにサインインします。カスタマーサポートシステムの多くのユーザーはOktaの管理者です。これらのユーザーがマルチファクタ認証(MFA)に登録していることは非常に重要であり、これによりカスタマーサポートシステムだけでなく、Oktaの管理コンソールへのアクセスも安全になります。

名前とメールアドレスがダウンロードされたことを考慮すると、これらのユーザーを標的としたフィッシング攻撃やソーシャルエンジニアリング攻撃のリスクが増加していると評価しています。Oktaの顧客の94%はすでに管理者に対してMFAを要求していますが、私たちはすべてのOktaの顧客がMFAを使用し、フィッシングに対する耐性のある認証システムの使用を検討することをお勧めします。管理コンソール(ClassicまたはOIE)のMFAを有効にするための製品ドキュメントを参照してください。

この情報の発見方法

11月3日のRCAの公開に続いて、Oktaセキュリティは、脅威行為者がカスタマーサポートシステム内で実行したレポートを手動で再作成し、ダウンロードしたファイルのサイズが初期の調査で生成されたファイルよりも大きかったことを確認しました。追加の分析の結果、レポートにはすべてのカスタマーサポートシステムのユーザーリストが含まれていることがわかりました。初期の分析の不一致は、脅威行為者がフィルターを削除したレポートのフィルタリングされていないビューを実行したことに起因しています。11月のレビューでは、テンプレート化されたレポートからフィルターが削除された場合、ダウンロードされるファイルはかなり大きくなり、セキュリティテレメトリに記録されたファイルダウンロードのサイズにより近いものでした。

また、脅威行為者がアクセスした追加のレポートやサポートケースも特定しました。これらには、すべてのOkta認定ユーザーと一部のOkta Customer Identity Cloud(CIC)の顧客連絡先などの連絡先情報やその他の情報が含まれています。一部のOkta従業員情報もこれらのレポートに含まれていました。この連絡先情報には、ユーザーの認証情報や個人データは含まれていません。

私たちは第三者のデジタルフォレンジックファームと協力して、私たちの調査結果を検証しており、完了後に顧客とレポートを共有する予定です。

推奨されるベストプラクティスの実施

すべての顧客に対して、Oktaの管理者を標的とする潜在的な攻撃に対抗するために、以下のアクションをすぐに実施することをお勧めします。

デビッド・ブラッドバリーはOktaの最高セキュリティオフィサー(CSO)です。CSOとして、彼は組織全体のセキュリティ実行をリードし、彼のチームは進化する脅威の風景を航海し、従業員と顧客を最高に保護するための責任を持っています。また、彼はOktaの顧客がゼロトラストセキュリティ戦略を継続的に採用し、加速するのを支援することでも重要な役割を果たしています。

Oktaに参加する前、ブラッドバリー氏はシマンテックのシニアバイスプレジデント兼最高セキュリティオフィサーであり、すべてのサイバーセキュリティおよび物理セキュリティプログラムのグローバルな監督とリーダーシップを担当していました。

ブラッドバリー氏は、大規模なスケールでのサイバーセキュリティをリードし提供することで国際的な評判を築いています。彼は、母国オーストラリアだけでなく、イギリスとアメリカでも活動し、ABN AMRO、バークレイズ、モルガン・スタンレー、オーストラリア・コモンウェルス銀行など、世界最大の銀行で高く評価されるセキュリティチームを率いました。彼はシドニー大学でコンピュータサイエンスの学士号を取得しています。

注意

  • この記事はAI(gpt-3.5-turbo)によって自動生成されたものです。
  • この記事はHackerNewsに掲載された下記の記事を元に作成されています。
    Okta hackers stole data on all customer support users in major breach
  • 自動生成された記事の内容に問題があると思われる場合にはコメント欄にてご連絡ください。

コメントする