Oktaは11月3日(米国時間)、「Unauthorized Access to Okta's Support Case Management System: Root Cause and Remediation|Okta Security」において、2023年10月20日(米国時間)に発表した内部サポートシステムが侵害された事案について続報を伝えた。これは「1Passwordが脅威アクターの活動を検出、原因はOktaサポートシステム | TECH+(テックプラス)」として報じていたもので、侵害の経緯とその後の対応を報告している。
この事案は9月28日から10月17日(米国時間)にかけて、Oktaの顧客の1%未満にあたる134名の顧客に関連するOktaカスタマーサポートシステム内のファイルが不正アクセスを受けたことが発端。これらファイルはセッションハイジャック攻撃に悪用できるセッショントークンを含むHARファイル(WebブラウザとWebサイトとの対話を記録するJSON形式のアーカイブ)であったため、脅威アクターはこれを悪用して顧客のOktaセッションをハイジャックすることができたという。
Okta Securityはその後の調査で、従業員が会社のラップトップのChromeブラウザを使用して、個人のGoogleアカウントにサインインをしていたことを特定している。そしてこの従業員がOktaのサービスアカウントの認証情報をこの個人用アカウントに保存していたため、ここから認証情報が漏洩してOktaカスタマーサポートシステムに不正アクセスされたものと推測されている。
Oktaはこの事案を受けて、次のような対策を実施している。
- カスタマーサポートシステム内の侵害されたサービスアカウントの無効化
- 個人のGoogleアカウントを使用して会社が管理するラップトップのGoogle Chromeにサインインできないように、Chrome Enterpriseの構成オプションを実装
- カスタマーサポートシステムの監視体制を強化
- ネットワークの場所とOkta管理者セッショントークンをバインドする。これにより、Okta管理者に対するセッショントークンが窃取されたとしても、異なるネットワークから接続を試みると再認証が強制される
この事案において影響を受けたとされる企業は、1Password、BeyondTrust、Cloudflareを含む5つの企業とされる。これら企業に被害があったのか否かの情報はOktaからは公開されていないが、少なくとも1Passwordに関しては侵害がなかったものとみられている。