ID管理プラットフォームのOktaが、同社のカスタマーサポートのシステムへの不正アクセスを許したと公表したのは10月20日の金曜日(米国時間)のことである。アクセスおよび認証サービスを提供するOktaで発生した侵害は必然的にほかの組織を危険に晒すものであり、同社は「特定の顧客」に影響が及んだことを認めている。18,400の顧客の「約1%」に影響があったとOktaは『WIRED』に語った。
顧客であるパスワードマネージャーの1Passwordは、不審な活動の存在を9月29日にOktaに通知していたと10月23日に公表している。1Passwordが報告した活動はOktaにカスタマーサポートのシステムのインシデントと関連するものだった。
Okta の顧客で別の認証情報とアクセスの管理会社であるBeyondTrustも、自社のOktaの管理者アカウントで不審な活動を特定し、10月2日にOktaにその問題について連絡したと10月20日に公表している。インターネットのインフラを提供するCloudflareも、10月18日に自社のOktaのシステムで同様の問題を検出し、Oktaに通告したと10月21日に公表した。
Oktaで過去に起きたインシデント
Oktaのように、多くの大手企業も利用する重要なデジタルサービスを提供する企業が攻撃の対象となることは避けられない。多くの組織に侵入したいハッカーたちが情報をまとめて手に入れられる場所になっているからだ。
そしてマイクロソフトのような大手テック企業で起きた不正アクセスが示すように、攻撃の大部分を防げていたとしても攻撃者に侵入を許してしまうことがある。
しかし、今回の不正アクセスが特に問題視されている理由は、Oktaで22年に起きたセキュリティに関するインシデントとの共通点が多いからである。前回の攻撃者はOktaがカスタマーサポートの作業を委託していたサブプロセッサー(業務委託先)経由で侵入していた。
「今回の件で驚いていることは、22年に侵害があったのなら外部に露出したシステムや、標的となりやすい人員のセキュリティに気を配ることが当然であるにもかかわらず、このようなことが再び起きてしまったことです」と、TrustedSecの上級セキュリティコンサルタントであるアダム・チェスターは話す。
社内のサポートアカウントへの不正アクセス
今回のインシデントは、サードパーティーのパートナーが提供するカスタマサポートサーボスではなく、Oktaの社内のサービスに侵入するものだった。
今回の攻撃者は盗まれたログインのための認証情報を使ってOktaのサポートアカウントに不正に侵入している。そしてそのアカウントを利用して、カスタマーサポートのプロバイダーが問題解決のためにクライアントのシステムにアクセスできるようにするクッキーとセッショントークンを盗んだのである。これらのアクセストークンを使用することで、攻撃者はOktaの顧客アカウントに直接侵入できたというわけだ。
1Password、BeyondTrust、Cloudflareはどこも自社の顧客に影響が及ぶ前に侵入を検出してブロックできたと説明している。また、3社ともOktaから警告が届く前に、システムで起きていることについてOktaに通知したことを強調していた。それにはOktaがこの問題について公開する数週間前のものもあった。
「CloudflareがOktaのシステムへの侵害による影響を受けたのはこれで2回目です」と、Cloudflareのエンジニアのグループは10月21日のブログ投稿で説明している。続けて、Oktaがセキュリティの態勢を改善するためにできる施策を並べた。「侵害の報告を真剣に受け止め、被害を抑えるために直ちに手を打つこと。システムへの侵害により顧客に影響を与えることが判明したのなら、責任をもって迅速に顧客に知らせること。サードパーティのサポートプロバイダーを含むすべてのシステムを保護するためにハードウェアキーの使用を求めること」などだ。
Cloudflareのエンジニアはさらに、重要なセキュリティサービスを多くの組織に提供するOktaのような企業にとって、こうした保護措置をとることは「当然のこと」だと書いている。
2回の不正アクセスを受けて、カスタマーサービスの保護態勢を改善するために今後どのような措置を講じるのか、また潜在的なインシデントの報告に対して緊急性が欠けた対応をしているように見えた理由について、『WIRED』はOktaに質問した。ところが、広報担当者はコメントを差し控え、これについての詳細を近いうちに共有すると語るのみだった。
セキュリティ強化のためにOktaは何をしたのか
「22年の不正アクセスの後にOktaが実施した技術的な対策と、今回の事件が前回とどのように異なるのかを本当に知りたいと思っています」と、システムの可視化とインシデントの検出ツールを開発するRunRevealの共同創業者であるエヴァン・ジョンソンは語る。「Oktaはセキュリティ強化のためのハードウェアキーを展開しなかった、あるいはサポート対応を請け負っている契約業者のためにそれを展開しなかったのだと予想しています」と話す。
米国家安全保障局の元ハッカーであり、現在はInstitute for Applied Network Securityの教員であるジェイク・ウィリアムズは、「問題はOkta以上に大きいでしょう」と強調する。ソフトウェアサプライチェーンへの攻撃と企業が防衛しなければならないハッキングの量は膨大だとウィリアムズは話す。「残念ながら、規模にかかわらずどのサービスプロバイダーも確かな証拠を提示されるまで、自社がインシデントの原因になっているとは信じられないものです」と言う。
とはいえ、「Oktaの場合は前回と同じく、外部委託していたカスタマーサポートの作業が関与しています」とウィリアムズは付け加える。また、今回のインシデントを受けてOktaが顧客に提案していた対処法のひとつは現実的ではないと指摘している。Oktaは、トラブルシューティングのデータから侵害される可能性のあるサポートセッションのトークンを注意深く削除することをすすめていた。
「トラブルシューティングのために要求したファイルからセッショントークンを削除する責任が、顧客のほうにあるとするOktaの言い分はばかげています」とウィリアムは話す。「それは幼児にナイフを渡しておきながら、幼児がけがをしたことを非難するようなものです」と話している。
(WIRED US/Translation by Nozomi Okuma)
※『WIRED』によるセキュリティの関連記事はこちら。
未来を実装する「実験区」へようこそ!
会員限定コンテンツの無料トライアルはこちら
最新テクノロジーからカルチャーまで、次の10年を見通すための洞察が詰まった選りすぐりの記事を『WIRED』日本版編集部がキュレーションしてお届けする会員サービス「 SZ メンバーシップ」。週末に届く編集長からのニュースレターやイベント優待も。無料トライアルを実施中!