2023年10月18日(水)、Oktaに起因するシステムへの攻撃が発見されました。脅威者は、Oktaで漏洩した認証トークンを利用して、CloudflareのOktaインスタンスに侵入しました。これは厄介なセキュリティインシデントでしたが、当社のセキュリティインシデント対応チーム(SIRT)のリアルタイム検知と迅速な対応により、被害を食い止め、Cloudflareのシステムとデータへの影響を最小限に抑えることができました。当社の迅速な対応により、Cloudflareの顧客情報やシステムに影響がなかったことを確認しています。Oktaは現在、このインシデントに関する公式声明を発表しています。
CloudflareがOktaのシステム侵害の影響を受けたのはこれが2度目です。2022年3月、当社はOktaの侵害がCloudflareにどのような影響を与えたかに関する調査についてブログを書きました。このインシデントでは、Cloudflareの多要素認証にハードキーを使用していたため、脅威行為者から当社のシステムやデータへのアクセスはなかったものと結論づけました。
今週のインシデントを軽減できた鍵は、当社のチームが早期に発見し、即座に対応したことです。実際、Oktaのシステム侵害について、先方からの通知を受ける前にこちらから連絡しました。攻撃者はOktaのオープンセッションを管理者権限で使用し、当社のOktaインスタンスにアクセスしました。Cloudflare Zero Trust Access、Gateway、Data Loss PreventionとCloudforce Oneの脅威調査を利用してインシデントの範囲を確認し、攻撃者が顧客データや顧客システム、本番ネットワークにアクセスする前に、インシデントを阻止することができました。この確信を得たことで、当社は、脅威行為者が持続性を確立する前に、インシデントを迅速に緩和することができました。
Oktaの声明によると、脅威行為者はOktaのカスタマーサポートシステムにアクセスし、最近のサポートケースの一部として特定のOktaの顧客がアップロードしたファイルを閲覧しました。当社のケースでは、脅威行為者はCloudflareの従業員が作成したサポートチケットからセッショントークンを乗っ取ることができたようです。Oktaから抽出されたトークンを使用して、脅威行為者は10月18日にCloudflareのシステムにアクセスしました。この巧妙な攻撃では、脅威行為者がOktaプラットフォーム内の2つのCloudflare従業員アカウントを侵害したことが確認されています。当社は、Oktaから侵害の通知を受ける24時間以上前に、この活動を社内で検知しました。発見後、当社のSIRTは迅速に対応し、侵害された全範囲を特定し、セキュリティインシデントを阻止することができました。CloudflareのZero Trustアーキテクチャが当社の本番環境を保護し、お客様への影響を防ぐことができました。
Oktaに関する推奨事項
Oktaには、以下のベストプラクティスの実施を検討するよう強く求めます。
セキュリティ侵害の報告を真摯に受け止め、被害を最小限に抑えるために直ちに行動すること。本ケースでは、OktaはBeyondTrustから2023年10月2日に最初に通知を受けていましたが、攻撃者は少なくとも2023年10月18日までサポートシステムにアクセスしていました。
システムの侵害が顧客に影響を及ぼしたことが判明した場合、タイムリーで責任ある開示を顧客に提供すること。
サードパーティ・サポートプロバイダーを含むすべてのシステムを保護するために、ハードウェアキーを要求すること。
Oktaのような重要なセキュリティサービスプロバイダーにとって、これらのベストプラクティスに従うことは当然のことだと考えています。
Oktaのお客様への推奨事項
Oktaをご利用のお客様は、お客様の組織への影響について、Oktaに問い合わせることをお勧めします。当社では、次のアクションをとることもお勧めします。
すべてのユーザーアカウントに対してハードウェアMFAを有効化する。パスワードだけでは、攻撃を退けるために必要なレベルの保護はできません。ハードウェアキーの使用を強くお勧めします。MFAの他の方法では、フィッシング攻撃に対し脆弱になる可能性があるためです。
以下について調査し、対応する。
Oktaインスタンスの予期せぬすべてのパスワードとMFAの変更。
不審なサポート開始イベント。
すべてのパスワードリセットが有効であることを確認し、疑いのあるものについては強制的にパスワードをリセットする。
不審なMFA関連イベントがあれば、有効なMFAキーのみがユーザのアカウント構成に存在することを確認する。
以下を監視する。
新しいOktaユーザーの作成。
Oktaユーザーの再アクティベーション。
すべてのセッションには適切な認証が関連付けられていること。
すべてのOktaアカウントと権限の変更。
MFAポリシーの上書き、MFAの変更、MFAの削除。
機密アプリの委任。
テナントにアクセスするサプライチェーンプロバイダー。
セッションハイジャック攻撃を制限するために、セッションの有効期限ポリシーを見直す。
Cloudflare Accessデバイスポスチャーチェックなど、重要なシステムに接続されているデバイスを検証するツールを活用する。
検出と監視の戦略のために多層防御を実践する。
CloudflareのセキュリティおよびITチームは、今回の侵害後も引き続き警戒を続けています。Oktaからさらなる情報が開示された場合、または追加のログ分析によって発見された場合は、この投稿を更新して公開します。
Cloudflareのセキュリティインシデント対応チームは募集を行っています。