IDおよびアクセス管理を提供する大手企業、Okta社が、2022年1月に委託先のサポートエンジニアのマシンがサイバー攻撃を受け、データが侵害されたことを公式声明で発表しました。この声明は、サイバー犯罪グループLapsus$により、同社のロゴがオンライン投稿されたことを受け、3月22日に発表されました。2021年以降、同犯罪グループによる攻撃が急増しています。
Okta社の侵害は、例外なくどの企業も攻撃対象となる可能性があり、絶対的な防御手段は存在しないことを改めて指摘しています。進化し続けているサイバー攻撃を、単独で阻止できる企業またはソリューションや技術は存在しません。サイバー攻撃を防御する関連者は、何らかの事態が発生した場合、オープンかつ迅速に連絡を取り合い、セキュリティは「チームプレー」であることを肝に銘じて、使命を共有してセキュリティを最優先するという考え方を、一丸となって推進する必要があります。
この侵害についてこれまでに判明していること、およびIDプロバイダー(IdP)が侵害された場合に講ずるべきいくつかの実際的なステップについて、以下をご覧ください。
Okta社侵害の概要
2022年1月、攻撃者がOkta社の委託先のサポートエンジニアのエンドポイントを侵害し、同社の顧客データにアクセスしました。侵害が直ちに認められたにもかかわらず、2022年3月22日にLapsus$が同社のロゴをオンライン投稿するまで、本件に関する公式声明は行われませんでした。この侵害により、シングルサインオンやID管理にOkta社を利用している顧客が影響を受けた可能性があります。
Lapsus$は、大企業への攻撃や意表な手口により、にわかに注目を集めているサイバー攻撃グループです。
犯罪動機や被害の全容はまだ明らかになっていませんが、2つのことが明らかです。つまり、ID漏洩が主な発端であること、および意図された標的が関連の主要なテクノロジー企業だけがではないことです。
Okta社の侵害に関して、Lapsus$は、実際には同社の顧客が標的であったことを明言しています。
お客様のIDプロバイダーが侵害されている、またはその疑いがある場合、直ぐに講じるべき4つのステップ
サイバー攻撃が急増し続ける中、すべての組織が事前に侵害を想定してシステムを強化し、攻撃の可能性に備えることが急務となっています。お客様の会社組織が直接攻撃を受ける、あるいは委託先のプロバイダーが第一の標的になる可能性があります。
IDプロバイダーをTier0アセットとして扱い、適切な保護を講じる必要があります。
お客様の会社組織のIDプロバイダーが侵害された場合またはその疑いがある場合、以下の4つのステップを直ちに実行して、データ漏洩と影響を最低限に抑える必要があります。
ステップ 1:報告された攻撃日以降に行われた設定変更を精査。設定変更を行い、認証フロー全体を切り替えるだけでは、攻撃者のアクセスを完全に阻止することはできません。
以下のような変更には注意が必要です:
- MFAデバイスの新規導入やデバイス変更
- MFAの設定変更:例えば、攻撃者がIDとユーザーパスワードを侵害して、特定のアプリのMFAを無効化して、アプリにフルアクセスしている可能性があります。
- IDプロバイダー(IdP)の設定変更:攻撃者がURI(SSOソリューションとIdP間の接続)および関連する設定が変更されている場合、ユーザーパスワードを変更しても、攻撃者が自由にアプリケーションやサービスにアクセスしている可能性があります。
- 特に特権アカウントや管理者アカウントのパスワードおよびMFAのリセット試行。
すべてのパスワードのリセット試行が疑わしいと想定して、すべてのパスワードをリセット。 - アクセス許可とロール変更および新規ユーザーの作成。
IdPのソリューションが、例外的なアクセスに基づいてリスクベースのアクセスおよびリスクスコアリングを提供している場合、システムの高リスクなイベントと高リスクなユーザを査定してください。例外的なアクセスにより、これらのイベントが引き起こされる可能性があります。例えば、普段とは異なるIP、ロケーション、デバイスによるアクセスなどです。
また、アプリケーション自体の変更にも注意することが重要です。アプリに直接ログインできるアプリケーションにシャドウ管理者が作成されている場合、それを見つけ出すことは極めて困難といえます。お客様の会社組織でIGA(IDガバナンス・管理)プラットフォームが使用されている場合、その認証性能をチェックする絶好の機会です。
ステップ2:認識されていないまたは不正なアプリケーションを突き止める。SSOプラットフォームにアクセスできる攻撃者が、正規のアプリケーションのように見せかけて、悪意のあるアプリを追加または既存のアプリを置き換える可能性があります。
新しいアプリケーションが追加されている場合、ガバナンスプロセスを有効にする必要があります(承認プロセスや複数の管理者への通知など)。
悪意のあるアプリが、ユーザー同意後に割り当てられたアクセス許可を悪用する可能性があります。
例えば、悪意のあるアプリケーションが、Outlookメールの読み取りやクラウドベースのストレージへのアクセスを要求してくる場合があります。
ステップ3:犯罪者がアプリやサービスへのアクセストークンを獲得して、アクセス許可を悪用および被害を与える可能性を、最小特権を適用することで、最小限に抑えことができます。ジャストインタイムアクセスや動的な特権昇格機能の導入を検討し、常時アクセスを排除およびエンドポイントからローカル管理者を削除するなど、基本的な最小特権を見直してください。またこれには、重要なアプリへのアクセスに関して、最高レベルの認証保証レベル(AAL3)に準拠したMFAポリシーの導入が含まれます。
ステップ4:特定のデバイスおよびマネージドデバイスにのみ機密アプリケーションへのアクセスを許可して、未知のデバイスからのアプリケーションへのアクセスを制限できます。
また、最小特権管理プラクティスを順守する必要があります。これには、RDPやリモートアクセスをヘルプデスクのみに制限、特権アクセス管理ソリューション(PAM)、ベンダー特権アクセス、管理サブネットなどが含まれます。
セキュリティ最優先を推進
今日の脅威の状況において必要なのは、セキュリティ最優先のマインドセットを共有し、一丸となって取り組むことです。CyberArkは、セキュリティパートナーや関係者と連携して、最も重要な資産を攻撃から保護する使命を果たしていきます。
CyberArkは、脅威の状況の変化を常に監視し、新たな情報が明らかになり次第、皆様にお知らせしています。
詳細については、4月6日に開催されるウェビナー(英語)にご参加ください。
CyberArkは、サイバーセキュリティ体制を継続的に強化しています。詳しくは、CyberArk Trust Centerをご覧ください。