昨年10月に発生したOkta社のインシデントを覚えていますか?その後事態は落ち着き、最終調査報告書が提出されました。しかしCloudflare社の方は、問題がそこで終わることはありませんでした。攻撃者が、侵害したOkta社のセッションを悪用してCloudflare社のシステムにアクセスしたのです。この事態により、これまでセキュリティのベストプラクティスと考えられてきた対策に重大な疑問が生じることとなりました。
インシデントの流れ:
・発端は、2023年10月にOkta社が侵害されたインシデント。このインシデントで、Cloudflare社関連のデータ(セッションクッキーのトークンなど)が流出
・攻撃者はOkta社を侵害することで、Cloudflare社のサービスアカウント3件を乗っ取り、二要素認証さえも回避
・攻撃者は侵害したサービスアカウントを使用し、Cloudflare社が使用していたAtlassian Suiteに不正アクセスし、 さらにはConfluenceやJira、Bitbucket(ソースコード管理システム)で、水平移動に悪用可能なハードコードキーやシークレット情報を検索。Cloudflare社によると、それらの情報が実際に悪用される前に同社が攻撃者の存在を発見して阻止に成功
Okta社のインシデントから学ぶべきポイント:端末のマルウェア感染がなぜ問題になるのか?
Okta社のインシデントは、新聞の見出しを飾る一大事となりました。ここで我々が覚えておくべき教訓として、攻撃者は皆さんの組織の端末をマルウェアで侵害し、資格情報を窃取するだけで、重要な業務用のサービス(GitサービスやCRM、チケット管理システム、ナレッジマネジメントプラットフォームなど)に不正アクセスすることが可能になるということが挙げられます。
侵害されたAtlassianアカウント(KELAのIDENTITY GUARDで検知したデータ)
我々にできることは?
- 認証の二重化:二要素認証はセキュリティ対策で重要な役割を果たしますが、それだけで全てのリスクを排除できるわけではなりません。リスクベース認証やエンドポイントのセキュリティツールなど、追加の対策を導入することを検討します。
- 従業員研修:従業員が退職する際のプロセスやそれにまつわるデータ処理の手続きは、起こりうる被害を最小限にとどめるうえで重要な役割を果たします。そのため、従業員にそれら手順の周知・理解を徹底します。
- 脅威インテリジェンスの活用:アカウント情報が侵害された場合でも、先を見越したソリューションを活用することで、オンライン上に流出した時点で即時に特定することが可能となります。ひいては、攻撃者にアカウント情報を悪用される前に、セキュリティチームが速やかに対応することができます。
Okta社とCloudflare社で発生したインシデントは、組織のセキュリティを脅かす脅威が進化していること、そしてそれに対抗するためには多層的なアプローチを導入する必要があるという現状を浮き彫りにしています。しかし、堅牢な認証機能、従業員の注意喚起を促すセキュリティ研修、強力な脅威インテリジェンスを組み合わせることで、高度な攻撃者を阻止できるチャンスを生み出すことができるのです。
さらなる知見をお探しですか?
- KELAの「リサーチ」セクションで、サイバー脅威やアカウントの侵害に関する最新情報をチェックしてください。
- KELAのメーリングリストに登録して、サイバー脅威の最新情報やセキュリティに関するヒントを入手してください。
攻撃者の先を行き、データの安全を確保したい皆様、KELAのIDENTITY GUARDモジュールを無料でお試しいただけます。アカウント情報が侵害された時の対応時間を最小限に抑えるツールとして、ぜひご検討ください。