同じサイバー攻撃を2度受ける 何が起こったのか

サイバー攻撃を受け、復旧したはずがまた同じ攻撃にさらされる。これは非常にまずい事態だ。このような事例を紹介する。

[Matt Kapko，Cybersecurity Dive]

　インターネットのコンテンツを高速に配信し、負荷分散や可用性、高いセキュリティを提供する企業がサイバー攻撃を受けた。この攻撃では被害を受けておらず、撃退できたと発表したものの、2回目の攻撃を受けてしまった。

なぜ2回目の攻撃を受けたのか

　1回目の攻撃を食い止めることができたのに、2回目はそうはならなかったのはなぜだろうか。

　被害を受けたのはCloudflareだ（注1）。同社は2024年2月1日、「2023年10月中旬に当社のOkta環境に侵入した攻撃者が、同年11月中旬にコンテンツデリバリーネットワークのシステムの一部に再びアクセスした」と発表した（注2）。

　攻撃は2023年10月初旬に始まった。このときは認証情報を扱うOktaの環境が侵害された。2回目の攻撃では1回目の攻撃後にCloudflareが変更（ローテーション）していなかったアクセストークン1つとサービスアカウント認証情報3つが不正利用させてしまった（注3）。Oktaの事件は、最終的に、Oktaのカスタマーサポートシステムにある全クライアントのデータを流出させた（注4）。

　Cloudflareのマシュー・プリンス氏（CEO）、ジョン・グレアム＝カミング氏（CTO：最高技術責任者）、グラント・ブルジカス氏（CSO：最高戦略責任者）は「この出来事によって、Cloudflareの顧客データやシステムに影響はなかった」と述べた。

　度重なる攻撃を受けた結果、CloudflareはOktaのシステムに対する2度目の侵害を許してしまった。その結果、攻撃者はCloudflareを含むOktaの顧客の認証情報の一部にアクセスすることができた。

しつこい攻撃が続く

　2023年、CloudflareはOktaに関連する複数の攻撃を阻止しており、これには2022年1月のOktaサポートエンジニアのシステムに対する侵入や（注5）、2022年8月に3人の従業員がだまされたCloudflareのOktaログインページになりすましたフィッシング攻撃が含まれている（注6）。

　Cloudflareの幹部は、ブログ投稿で次のように述べている。

　「1つのサービストークンと3つのアカウントは、使用されていないと誤解されていたため、変更されなかった。攻撃者が最初に当社のシステムに侵入し、Atlassian製品への持続的なアクセスを獲得したのはこのためだった」

　Cloudflareと同社のインシデントレスポンスを担当するCrowdStrikeは今回の攻撃を実施したのは国家に関連するグループだと捉えている。攻撃グループは次のような複数のCloudflareのシステムにアクセスした。

・Atlassianサーバにアクセスされた結果、脆弱（ぜいじゃく）性管理や秘密のローテーション、多要素認証の回避、ネットワークアクセス、CloudflareのOktaインシデントへの対応に関するJiraチケットを検索された
・Cloudflareのソースコード管理システムは「Atlassian Bitbucket」にあり、120のコードリポジトリを含み、そのうち76が外部へ持ち出された
・「Atlassian Confluence」上にあった社内Wiki
・「Cloudflare Apps」マーケットプレースを支えるために使用されていたAmazon Web Services（AWS）環境は、Cloudflareのグローバルネットワークや顧客データへのアクセスがないようにセグメント化されていた

　攻撃者は偵察を開始した後、2023年11月14日にCloudflareのシステムにアクセスした。Cloudflareは同年11月23日に攻撃者が自社のシステムに存在することに気付き、その日の間に複数の悪意のあるアカウントを検出して無効化した。

　Cloudflareは「2023年11月24日に全ての攻撃者のアクセスと接続が停止された。脅威活動の最後の証拠が確認されたのは同年11月24日だったことを確認した」と述べている。

　脅威が封じ込められ、Cloudflareの環境から取り除かれた後、同社は侵入の調査とシステムの強化に技術スタッフのリソースを大幅に割いた。

　Cloudflareは「攻撃者のアクセスは限定的であり、後に確認されたとはいえ、私たちは5000を超える個々の認証情報にまたがる全ての本番用のクレデンシャルをローテーションする包括的な取り組みを実行した」と述べている。

　同社はまた、テストシステムとステージングシステムを物理的にセグメント化し、4893台のシステムでフォレンジックトリアージを実施し、グローバルネットワーク内の全てのサーバのイメージを消去、再インストールしてから再起動した。

　Cloudflareは「私たちとCrowdStrikeの調査によって、攻撃者の行動を完全に把握し、その行動は、当社が確認したシステムに限定されていたことを確信している」と述べた。

出典：Cloudflare hit by follow-on attack from previous Okta breach（Cybersecurity Dive）
注1：BeyondTrust, Cloudflare averted Okta attacks thanks to security chops（Cybersecurity Dive）
注2：Thanksgiving 2023 security incident（CLOUDFLARE）
注3：Okta attacked again, this time hitting its support system（Cybersecurity Dive）
注4：All Okta support system customers caught in previously disclosed breach（Cybersecurity Dive）
注5：Okta says 2.5% of customers breached, as Lapsus$ sows disorder（Cybersecurity Dive）
注6：Cloudflare thwarts ‘sophisticated’ phishing attack strategy that bruised Twilio（Cybersecurity Dive）