1Passwordは10月23日(加国時間)、「Okta incident and 1Password|1Password」において、サポートシステムのインシデントに関連して自社のOktaインスタンスで不審なアクティビティを検出したと伝えた。1Passwordはアイデンティティ・アクセス管理企業「Okta」のサービスを従業員向けアプリの管理に使用しており、9月29日にこのOktaのインスタンスで不審な活動を検出したという。
-
Okta incident and 1Password|1Password
1Passwordは不審な活動を検出した直後、活動を中止して調査を行っている。その結果、従業員およびユーザーのいずれにおいてもデータやその他の機密システムの侵害はなかったことが明らかになった。その後、Oktaと協力して最初の侵害ベクトルの調査を行い、10月20日にOktaのサポートシステム違反の結果であることを確認したとしている。
1Passwordは、この件に関する詳細なインシデントレポート(PDF)を公開している。レポートでは、この件はHARファイル(WebブラウザとWebサイトとの対話を記録するJSON形式のアーカイブ)に含まれるセッションデータが窃取されたことに原因の可能性があると説明している。
1PasswordではITチームのメンバーがOktaサポート業務に従事しており、彼らの要求によりHARファイルをOktaサポートポータルにアップロードすることがあるという。このHARファイルにはセッションデータなどの機密情報が含まれており、これを脅威アクターが何らかの方法で入手、悪用してOkta管理ポータルにアクセスし、次のような活動を行ったとしている。
- ITチームメンバのユーザーダッシュボードにアクセスしようとしたが、Oktaにブロックされた
- Google本番環境に関連付けられた既存のIDPを更新した
- IDPを有効化した
- 管理ユーザーのレポートを要求した
上記の「管理ユーザのレポート要求」により、その事実がITチームのメンバにメールで通知され事態が発覚したという。1Passwordの調査によると、この脅威アクターによる他の活動は確認されていないとして、目的は初期偵察にあったのではないかとみられている。
その後、Oktaは10月20日に内部サポートシステムが侵害されたことを認めている(参考:「Tracking Unauthorized Access to Okta's Support System | Okta Security」)。Oktaはこの侵害により、特定の顧客がアップロードしたファイルが脅威アクターに閲覧された可能性があるとしている。これにより、1Passwordは同様のインシデントを防止するためにセキュリティ対策を強化したとしている。
Oktaは侵害されたシステムはサポートケース管理システムであり、本番環境は影響を受けていないとしている。また、顧客がアップロードするHARファイルなどからセッショントークンを取り消すなど、顧客を保護する処置を講じたとしている。
この件は企業間の情報共有について、共有する情報を慎重に取り扱うことの重要性を示している。相手企業を信用することは悪いことではないが、どこに危険が潜んでいるかはわからない。システムが侵害を受けた結果、顧客企業にまで影響が出る事態を避けるためにも、共有する情報は双方共に必要最小限にとどめることが望まれる。
この事案では、HARファイルを共有する前にHARファイルから資格情報、セッションデータなどをサニタイズすることで攻撃を防止できた可能性がある。企業や組織においてはシステムを保護するために常に警戒を怠らず、現状の情報共有の内容を継続的に確認し、必要に応じて改善することが望まれている。
