Okta

自らサイバー攻撃を受けて分かった
ゼロトラストの実効性と必要性

2022年3月、Lapsus$(ラプサス)と名乗る攻撃者集団が、
アイデンティティ管理とアクセス管理のクラウドサービスを提供する
米Oktaのシステム内のスクリーンショットをSNSに投稿した。
Oktaが速やかに実態調査を進めたところ、
攻撃者はOktaに侵入しようとして設定変更やパスワードのリセットを試みたものの、失敗に終わっていたことが判明。
図らずもOktaソリューションの効果が検証された形になった。
当時の経緯と、そこで得た教訓をOktaが自ら紹介する。

攻撃者集団が
「Oktaを侵害した」
とSNSで主張

Okta Inc. APJ担当リージョナルCSO Brett Winterford(ブレット・ウィンターフォード)氏
Okta Inc.
APJ担当リージョナルCSO
Brett Winterford
(ブレット・ウィンターフォード)氏
 Lapsus$(ラプサス)は、2021年12月ごろから2022年3月にかけてブラジルやポルトガル、米国などの著名なテクノロジー企業・組織をハッキングした攻撃者集団である。そのターゲットの1社になったのがOktaだった。2022年3月21日、ラプサスが、Oktaのシステムに侵入したと主張するスクリーンショットをSNSに投稿。複数のメディアがラプサスの主張をそのまま報道し、「Oktaが侵害された」という誤報が伝えられた。

 しかし、実際の調査によれば、事案の概要は次のようなものだ。

 SNS投稿の約2カ月前、1月16日~21日にかけて、Oktaがカスタマーサポート業務を委託しているSitel社にLapsus$が攻撃を仕掛けた。それにより攻撃者は、Sitel社のサポート担当者が使う専用端末に不正アクセスし、リモートで操作しながらサポート担当者が使用するOktaのカスタマーサポートツールにログインを試みた。サポート担当者になりすまして、Oktaシステムの設定変更やパスワードのリセットを試みたのだ。しかし、これらの試みは失敗に終わっていたことが判明した。

 「攻撃者はOktaの認証を通過できなかったのです。当社のテクノロジープラットフォームが攻撃者の侵入しようとする試みを察知し、アカウント乗っ取りを阻止しました。ゼロトラストソリューションの実効性が検証された形といえます」とウィンターフォード氏は述べる。

インシデント対応で
重要になるゼロトラスト

 Oktaは長年、ゼロトラストモデルをベースとしたアイデンティティ管理とアクセス管理の製品・サービスを開発・提供してきた企業である。同社のプロダクトチーム、セキュリティーチームが製品開発の指針としているのは、米国立標準技術研究所(NIST)が提唱するゼロトラスト基本概念。具体的には、次の5つが今回の攻撃を阻止する上で効果を発揮したという。

(1)
ネットワークの境界は、信頼を意味しない
(2)
あらゆるコンピューティングリソースへのアクセスは、セッション単位で最少権限かつ動的に許可する
(3)
リソースは認証後でないとネットワーク上で見つからない
(4)
アクセスポリシーは動的かつコンテキスト(ユーザー属性、ネットワーク属性、デバイス属性、ユーザーの振る舞い)に基づく
(5)
セッションはユーザーのコンテキストが変更されたとき、または要求されたリソースに応じて再認証及び再認可を必要とする
 Sitel社のサポート担当者がOktaのアプリケーションにアクセスする際も、このゼロトラストのアプローチが適用される(図1)。アクセスの認証・認可は、ユーザー、ネットワーク、デバイスのコンテキストに基づいて動的に評価される。ユーザーのアクセスはセッション単位かつ最少の権限しか許可されず、同時に多要素認証も適用される。活動は24時間・365日、ログを記録して監視する。  「Oktaのポリシーエンジンが認証リクエストをダイナミックに評価し、リスクを低減します。たとえ信頼している業務委託先のサポート担当者からのものであっても、疑わしいリクエストは承認しません」とウィンターフォード氏は説明する(図2)。

多層的な防御の仕組みで
攻撃の影響を極少化

 Oktaソリューションが、攻撃者の振る舞いを「疑わしいもの」と判断したポイントは大きく2つあったという。1つはパスワードリセットの操作を行った端末が、サポート担当者の仮想デスクトップではなく、Sitel社のネットワーク外にあるものだったこと。もう1つは、新しいパスワードのリセットで求められる多要素認証の要求が正当なユーザーから拒否されたことである。多要素認証は、正当なユーザーからの要求であるかを確認するためのものであり、それが拒否されたということは正当なユーザーからの要求でない可能性があるからだ。

 「最終的に、攻撃者はサポート担当者本人が事前に認証・許可されていたチャットツールを閲覧することしかできませんでした。データの閲覧という意味で影響を受けた可能性のあるお客様は2社。また、当該のチャットツールにアクセスできた時間は、1月21日の25分間のみでした。これらはいずれも、当初想定していた影響範囲よりも大幅に少ないものです」とウィンターフォード氏は語る。

 一方で、事態への初期対応や顧客への告知については多くの改善の余地があったとOktaは考えている。例えば、Oktaのアカウントやネットワークへの直接的な侵害はなかったものの、業務委託先で発生したインシデントがもたらすリスクに気付けなかったことはその1つだ。

 「また、多くの人々はメディアの報道を見てOktaのことを評価するでしょう。より早く事態を把握してタイムリーに公開するとともに、業務委託先でのケースであってもOktaがきちんと責任を取るということを表明することが必要でした。今後はお客様、業務委託先とのコミュニケーションを見直し、セキュリティーや可用性の問題をよりスピーディーに可視化するための新しいプロセスを構築します」とウィンターフォード氏は言う。

 対策環境も見直し、業務委託先のリスク管理を徹底する。業務委託先がOktaのシステムにアクセスする際には、Oktaのセキュリティー対策で実施することを義務づけた。またOktaの業務で使用するデバイスにはセキュリティーエージェントを導入し、詳細な各種ログデータを把握できるようにしていく。

 「我々は失敗から学ぶべきだと強く思っています」と強調するウィンターフォード氏。同社のエピソードからは、サイバー攻撃被害を極小化するために業務委託先との密接な協力関係がより重要になってきていることが示唆されている。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
Okta Japan株式会社 URL:https://www.okta.com/jp/contact-sales/
Okta Japan マーケティング:marketing-japan@okta.com