パスワードだけの単一要素認証よりも、多要素認証を用いる方が強度の高いセキュリティを実現できる。だが、多要素認証でも安全ではない場合がある。
攻撃者は権限を持ったユーザーを攻略
多要素認証やアイデンティティー管理ソリューションを提供するOktaによると、2023年の夏、Oktaの顧客がソーシャルエンジニアリング攻撃に遭った。攻撃者は、高度な権限を持つユーザーの多要素認証を全てリセットするよう仕向けた。どういうことだろうか。
2023年8月31日に米国証券取引委員会(SEC)に提出した書類の中で(注1)、Oktaは「この攻撃は斬新な手法によって横方向へ移動し、防御を回避した」と述べた。
Oktaのデビッド・ブラッドバリー氏(CSO《最高戦略責任者》)は、次のように述べた。
「これらの活動を追跡し始めた2023年7月29日から3週間以内に、4つの顧客が影響を受けた」
電話を使って被害者を操作
この攻撃キャンペーンは、米国に拠点を置く複数の企業を標的にした。企業のITサービスデスクのスタッフに電話をかけ、Oktaのソリューションの管理者アカウントを侵害しようとした。これは一貫したパターンだった。Oktaによると、組織内の高度な特権ユーザーになりすます目的だったという。
「標的にした組織のITサービスデスクに電話をかける前に、攻撃者は正規の認証情報を持っていたか、『Active Directory』を介して認証フローを操作したようだ」とOktaはSECへの提出書類の中で記した。
攻撃によってデータの盗難や恐喝、暗号化などの具体的な被害がどのようなものだったのか、Oktaは詳細を公開していない。
「攻撃が続く中、顧客と手を取り合って協力し、当社のブログを通じて予防策と対処法を顧客に直接共有できた。当社と顧客の関係がこれまで以上に強固になったと感じている」(ブラッドバリー氏)
今回の攻撃でシステムは侵害されなかった。Oktaがこのような状況に陥ったのは初めてのことではない。Oktaは2022年にフィッシング攻撃や情報漏えいに見舞われ(注2、注3)、GitHubのソースコードを盗まれた(注4)。
アナログなプロセスを含むソーシャルエンジニアリング攻撃とは
テクノロジーに関する調査サービスを提供するABI Researchのミケラ・メンティング氏(シニアリサーチディレクター)は、次のように述べた。
「これは間違いなく、IAM(アイデンティティーとアクセス管理)とSSO(シングルサインオン)を提供する企業の顧客が、真剣に考慮すべき一つのリスクだ。このようなサプライチェーン攻撃は、業種や地域を超えて多くの異なる企業に対して一貫して展開できるため、攻撃者が非常に有利になる」
パスワード管理サービスを提供するKeeper Securityのゼイン・ボンド氏(製品責任者)によると、アイデンティティー管理ツールが企業を保護できるかどうかは組織がこれらのサービスをどのように利用し、管理しているかに依存する。
「組織が十分なセキュリティ体制を維持しており、フィッシングメールや脆弱(ぜいじゃく)な認証情報の侵害といった単純な手法でシステムに侵入できない場合、攻撃者は高度なソーシャルエンジニアリング攻撃を使用する」(ボンド氏)
「クラウドやアイデンティティーのプロバイダーは、新しい攻撃手法に日々直面している。セキュリティチームとチームが使用するツールは改善され続けている。攻撃者はこれらの防御を破る新たな方法を探し出さなければならない。私たちは、攻撃者の変化する戦術を監視し続け、顧客を被害から保護するためにあらゆる手段を講じる」(ブラッドバリー氏)
Oktaは顧客に対して、フィッシングに耐性のある認証を実装し、高度な特権アカウントの使用を制限し、これらの機能の異常な動作を調査するよう促した。
「高度に標的を選んだ上での呼び出しを含むソーシャルエンジニアリング攻撃は、重要な攻撃手段だ。狙った相手のITシステムに侵入する際に、複雑でコストのかかる手法を使う必要はない。相手のゲートキーパーに自ら扉を開けてもらえばよい。この種の詐欺は、人間が存在する限りなくならない」(メンティング氏)
出典:Okta customers’ IT staff duped by MFA reset swindle(Cybersecurity Dive)
注1:Cross-Tenant Impersonation: Prevention and Detection(Okta)
注2:Okta entangled by Twilio phishing attack(Cybersecurity Dive)
注3:Okta says 2.5% of customers breached, as Lapsus$ sows disorder(Cybersecurity Dive)
注4:Okta’s GitHub source code stolen, company downplays impact(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
多要素認証が万能ではないシンプルな理由
MFA(多要素認証)はサイバー攻撃に対する万能薬ではない。MFAサービスを提供する企業が標的にされ、打ち負かされている。MFAが万能とはいえない“単純な理由”を紹介する
「多要素認証」導入の手引き 失敗する理由は?
セキュリティの強度を補う手段に多要素認証がある。だが、SMS認証や指紋認証、物理トークンを用いた認証など多数の技術があり、選択基準が分かりにくい。どのように多要素認証を選べばよいのだろうか。