Okta は、2022 年 3 月に発生した Lapsus$ 恐喝集団が顧客情報の一部を入手した事件の分析を完了し、ゼロ トラスト手法の実装によって攻撃が阻止されたと結論付けました。
ID 管理サービス ベンダーのアジア太平洋および日本担当最高セキュリティ責任者、ブレット・ウィンターフォード氏は、本日シドニーで開催されたガートナー リスク&セキュリティ サミットでこのように述べた。
ウィンターフォード氏の説明によると、このインシデントは1月にOktaのアナリストが、Oktaの(元)アウトソーシング顧客サービスプロバイダーであるSitelのサポートエンジニアがOktaシステムのパスワードリセットを試みたものの、想定されたネットワーク範囲外から実行し、多要素認証のチャレンジを試みなかったことに気づいたことから始まったという。このリクエストは、Microsoft 365で管理されているSitelのメールアドレスにリセットメールを送信し、攻撃者自身のキットを使用して行われた。最後の項目は非常に異例だった。Oktaは、Sitelがサポートサービスを提供するために使用していたVMを使用して行われた認証リクエストを確認できる。しかし、OktaはSitelのMS365の内部を見ることはできない。
そのため、Okta はユーザーを一時停止し、Active Directory アカウントの侵害を認めた Sitel に問題について問い合わせました。
「当初私たちは、この侵害されたアカウントはすぐに封じ込められ、Oktaやその顧客にはまったく影響がないという彼らの言葉を信じていました」とウィンターフォード氏は振り返る。
Lapsus$ がスクリーンショットを公開すると、Okta は、この事件には当初明らかだった以上の何かがあると感じるようになりました。
ウィンターフォード氏の説明によると、さらなる分析により、攻撃者はパスワードリセットの試みでSitelの従業員を侵害する試みに失敗した後にも試行を続け、Sitelのネットワーク上でシンクライアントソリューションを見つけたことが明らかになった。
「このシンクライアントソリューションは、ネットワーク上の管理者がリモートセッションを監視できるように設定されており、管理者は必要に応じてリモートセッションのマウスとキーボードを操作することもできました」とウィンターフォード氏は説明し、Lapsus$が公開したスクリーンショットにはシンクライアント環境が写っていたと付け加えた。「現在、脅威アクターは何らかの方法でこのシンクライアント環境に侵入し、現場やスタッフのリモートセッションを密かに監視し、そのツールのリモート制御機能を利用した可能性があると推定しています。」
- 英国警察、ラプサス$犯罪組織の捜査で7人を逮捕
- マイクロソフト、Lapsus$のBingとCortanaのコード窃盗の自慢を調査
- 悪意のないLapsus$ギャングは、情報セキュリティに必要な憧れのブランドではない
攻撃者は、正規のサポート エンジニアがすでに認証しているアプリを表示して操作できましたが、明らかに危険信号となるため、乗っ取ることはできませんでした。
我々は、侵害されたアカウントはすぐに封じ込められたというシテル氏の言葉を信じました。
Okta の評価によると、サポート エンジニアがデスクを離れ、Okta のサポート環境に接続されたセッションをアクセス可能な状態にしたままにしたときに、脅威アクターが Lapsus$ が公開したスクリーンショットを撮影しました。
「彼らは約25分間、その(シンクライアント)セッションを閲覧し、操作することができました」とウィンターフォード氏は説明した。「その25分間、彼らは当社のカスタマーサポートツールで検索を実行し、お客様に結果を返していました。また、ログから、脅威アクターがカスタマーサポートツールのいくつかの機能をクリックしたことがわかっていますが、どれも彼らの立場を有利にするものではありませんでした。」
「彼らはある顧客の管理コンソールにアクセスしようとしたが、それにはその顧客の管理コンソールで管理者からの同意が必要だったため、失敗した」と彼は付け加えた。
「パスワードとMFAのリセットを実行できた可能性はあるが、リセット対象のユーザーの受信トレイにアクセスできなければならなかっただろう。」
「Okta ダッシュボードから他のアプリケーションを開こうとしましたが、これも機能しませんでした。」
「つまり、サイトやネットワーク上に5~6日間、脅威が検知されずに存在し、その立場を利用してOktaに侵入しようとしたのです。そして、土壇場で回避策を見つけ、25分間その立場を悪用しようと試みましたが、特に成功しませんでした。」
Lapsus$の恐喝者がサムスンのデータをオンラインで流出、財閥がセキュリティ侵害を認める
続きを読む
ウィンターフォード氏は、この出来事はゼロトラストセキュリティ、そしてOktaによるその実装が機能したことを示していると主張した。
多要素認証により攻撃を撃退し、Sitel エンジニアの Okta アカウントの乗っ取りを阻止しました。その後、顧客サポート ツールでは、攻撃者がアウトソーシングされたサポート エンジニアに与えられる権限よりも高い権限で作業できるツールにアクセスするために追加の認証が必要になりました。
「脅威アクターは、構成の変更やMFA、パスワードのリセットを実際に実行することができず、最終的に、脅威アクターがOktaダッシュボードを開いてさらに多くのアプリケーションにアクセスしようとしたときに、回避できない強化認証が提示されました。」
「スクリーンショットが撮られてから数時間以内に、認証ログを二重、三重に確認しました」とウィンターフォード氏は述べた。「パスワードやMFAに関する最近のイベントは一切ありませんでした」また、Oktaは、攻撃がシンクライアントセッションのショルダーサーフィン以上のものであったことを示唆するその他のアクティビティも確認できなかった。
Oktaは、サポートエンジニアが閲覧できた可能性のある自社のログを顧客と共有しました。ウィンターフォード氏は、顧客は安全だったと満足していたと述べました。
Sitel はシンクライアント環境のログを作成するのに「約 2 週間」かかりました。
「これらの記録があれば、捜査を非常に早く終わらせることができるだろう」とウィンターフォード氏は語った。
Okta は、Sitel の行動に満足せず、この事件をめぐって同社と袂を分かったが、この事件について Sitel を責めていない。
アイデンティティ管理ベンダーである同社は、他にも変更を加えました。新しいサポートチームはOkta管理のデバイスを使用しています。ウィンターフォード氏は、これは費用はかかるものの、必要な措置だと述べています。これは、将来のインシデントを検知・防止するために必要な可観測性を確保しているという自信を同社に与えることを目的としています。しかも、Lapsus$インシデントを解明するのに2~3週間かかったのに対し、8時間以内に対応できるのです。
インシデント対応の変更も検討されている。ウィンターフォード氏は、OktaはLapsus$の申し立てに対する当初の対応から、Oktaがこの状況に対して責任を負っていないと結論付けることができたことを認めていると述べた。
それどころか、ウィンターフォード氏は、Okta の立場は「サプライヤーとの商業関係に関係なく、当社がこれを 100% 所有している」と述べた。®
