あなたの職場は大丈夫？ 認証情報を狙うサイバー犯罪者の手口とは

IDaaSベンダーが2022年に3回もサイバー攻撃を受けた。なぜこの企業を狙うのだろうか。攻撃が通ると何が起こるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　ID管理をサービスとして提供するIDaaS（IDentity as a Service）ベンダーがサイバー攻撃の標的になっている。なぜだろうか。

IDaaS企業に何度も攻撃がヒットする

　アイデンティティーアクセス管理プラットフォームを扱うOktaは、2022年12月に同年で3回目の攻撃を受けた。

　Oktaは2022年初めに、攻撃グループ「Lapsus$」に侵入された（注1）。当初は否定していたが（注2）、後に攻撃があったことを認めた。これが1回目だ。Lapsus$はサードパーティーベンダーを通じてOktaのデータにアクセスした。その数カ月後に攻撃のスクリーンショットを公開して自らの行為を自慢し、Oktaの対応を促した。

　2022年8月には、Twilioの顧客163社のうちの1社として、Oktaは大規模なフィッシング攻撃の影響を受けた（注3）。

　3回目の攻撃は2022年12月初めに起こった。GitHubのソースコードリポジトリで不正アクセスが起こり、情報がコピーされた。アクセスされたのは同社が企業向けに提供するセキュリティサービス「Okta Workforce Identity Cloud」に関連するコードだ。なお、2021年にOktaが買収したAuth0に関連する製品は影響を受けていないとしている。Oktaによれば、顧客データへのアクセスはなく、サービスに問題はないという（注4）。

　同社の年次報告書によると（注5）、Oktaは1万4000以上の顧客を持ち、クラウド、モバイル、Web、ITインフラストラクチャのプロバイダーと少なくとも7000件の統合管理を手掛けている。

1万件の認証情報が漏えい

　サイバーセキュリティインテリジェンスを提供するGroup-IBの研究者は、3番目の攻撃キャンペーンを「Oktapus」と名付けた。攻撃の結果、Oktaを含む136の組織で1万の認証情報が漏えいした（注6）。その中には、OktaのID認証やワンタイム認証コードも含まれていた。

　だが、Oktaの対応はそっけない。OktaはGitHubのコードリポジトリが盗まれたことの影響を軽視している。

　「当社のサービスのセキュリティはソースコードの機密性に依存していない。今回の攻撃は他のOkta製品には影響せず、顧客とも連絡を取り合っている」（Oktaの広報担当者）

　同社は、Oktaリポジトリへの全てのコミットを確認し、コードの整合性を検証するために、GitHubリポジトリへのアクセスを一時的に制限した。サードパーティーアプリケーションとのGitHub統合を停止し、GitHubの認証情報を変更した。

　同社の対応にはどのような問題があるのだろうか。DevSecOpsを手掛けるスタートアップ企業BoostSecurityのザイド・アル・ハマミ氏（創設者兼CEO）は、「ソースコードが長年にわたって攻撃者に共通する標的になってきた」と語る。

　「ソースコードを紛失したことが顧客アカウントの侵害には直接つながらないかもしれない。だが攻撃者はコードをスキャンして、別の脆弱（ぜいじゃく）性やトークン、開発環境や本番環境でのさらなる侵害につながる洞察を得ることができる」（ハマミ氏）

　つまり、認証情報がたとえ漏れていなかったとしても、認証情報を扱う企業の弱点が漏れてしまうということだ。

出典：Okta’s GitHub source code stolen, company downplays impact（Cybersecurity Dive）

注1：Okta says 2.5% of customers breached, as Lapsus$ sows disorder（Cybersecurity Dive）

注2：Okta denies security incident as Lapsus$ group goes on a spree（Cybersecurity Dive）

注3：Okta entangled by Twilio phishing attack（Cybersecurity Dive）

注4：Okta Code Repositories

注5：2022 Businesses at Work

注6：Almost 10K credentials compromised in phishing spree that ensnared Twilio, Mailchimp（Cybersecurity Dive）