1Password、Oktaでの侵害に関連するセキュリティインシデントについて報告 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 1Password、Oktaでの侵害に関連するセキュリティインシデントについて報告

Threat Report

Silobreaker-CyberAlert

1Password、Oktaでの侵害に関連するセキュリティインシデントについて報告

佐々山 Tacos

佐々山 Tacos

2023.10.24

10月24日:サイバーセキュリティ関連ニュース

1Password、Oktaでの侵害に関連するセキュリティインシデントについて報告

BleepingComputer – October 23, 2023

1Passwordは23日、Oktaでの侵害に関連するセキュリティインシデントについて開示した。1Passwordが公開した通知によれば、同社は9月29日、従業員用アプリの管理に使用されるOktaインスタンスで不審なアクティビティを検出し、インシデントを発見。ただ。ユーザーデータやその他の機微なシステムは侵害されていなかったという。

 

同社のレポートによると、インシデントの大まかな経緯は以下の通り。

 

・1PasswordのITチームのメンバーがOktaのサポート部門と連絡を取り、Okta側の要請に応じてHARファイルを作成して、Oktaのサポートポータルにアップロード。このHARファイルには、セッションクッキーなどの機微な情報が含まれていた。

・9月29日早朝、正体不明のアクターが、上記HARファイルの作成時に使われたのと同じOktaのセッションを使用して1PasswordのOktaテナントに管理者権限でアクセス。その後、以下のアクションを実行。

  ⚪︎1Password社ITチームの当該メンバーのユーザーダッシュボードへのアクセスを試みた(この試みはOktaによって阻止された)

  ⚪︎1Password社のGoogle環境に紐づけられている既存のOkta IDプロバイダー(IdP)を更新

  ⚪︎上記IdPをアクティベート

  ⚪︎管理者ユーザーに関するレポートをリクエスト

・上記4つ目のアクションにより、管理者リストを含むレポートの作成について通知するEメールがITチームメンバーのもとに届く。

・同メンバーは、通知内容が身に覚えのないものだったことから1Password社インシデントレスポンスチームに報告。

・10月20日までに、同社は本インシデントの原因がOktaのサポートシステムが侵害されたことだったことを確認。

・10月21日、Oktaがサポートシステムの侵害について開示。

関連記事:Oktaのサポートシステムがハッキングされ、顧客データが盗まれる

スペイン国家警察、詐欺行為の容疑者34人を逮捕

The Record – October 24th, 2023

スペイン国家警察は、さまざまなオンライン詐欺を行ったとされるサイバー犯罪者34人を逮捕し、銃器、刀、バットのほか、8万ユーロを押収した。同警察はこのグループに対する作戦の一環として、マドリッド、マラガ、ウエルバ、アリカンテ、ムルシアの各州で16件の捜索を行ったという。容疑者らはEメール、電話、テキストを用いて詐欺を行っていたと考えられていて、具体的には受信者の子供やその他の家族を装って金銭的な援助を求める内容の詐欺を行ったり、テクノロジー企業の納品書を改ざんしたり、電力供給会社の従業員を装ったヴィッシングキャンペーンを行ったりしたとされる。こういった詐欺行為による被害額は約300万ユーロ(320万ドル)に及んだと考えられている。また、400万人分の盗まれた情報が含まれたデータベースも見つかっている。

この捜査は今年初め、ある犯罪ネットワークによる不法行為が特定されたのをきっかけに開始された。これは、さまざまな金融・クレジット事業体のデータベースに不正にアクセスして顧客の口座へ当該事業体の資金を入金し、「コンピューターエラーにより誤って入金されてしまったので返金して欲しい」という内容の通知を顧客に送って、これを信じた顧客から返金される資金を騙し取るというもの。また捜査によって、この犯罪グループがその他の「多国籍の商用データベース」にも侵入しており、上記のような詐欺の実行にこれらのデータベース内の個人情報が使われていたことが判明している。さらに同グループは銀行の偽サイト、大量メッセージ送信プログラムなどを含む、サイバー犯罪の実行のために使用されるWebサイトやプログラムへのアクセス権も販売していたとされる。

同警察によるこの作戦は、サイバー犯罪や詐欺を取り締まるためにスペインの法執行機関が行っている最新の取り組みであり、4月には10代のハッカーが逮捕され、昨年12月にはSIMスワッピングを用いた銀行アカウントの乗っ取りを行った疑いで、サイバー犯罪者55人が逮捕されている。

米国のエネルギー企業、Akiraランサムウェアによるシステムハッキングの手口を共有

BleepingComputer – October 23, 2023

米国のエネルギーサービス企業BHI Energy(以下BHI)が、2023年5月30日のAkiraランサムウェアグループによる侵害で影響を受けた人々に送付した通知の中で、同グループの攻撃の手口を詳細に説明した。またこの通知には、Experianを通じた2年間の個人情報盗難防止サービスへの加入案内も同封されているという。

同アクターの攻撃の手口はまず、サードパーティの請負業者のアカウントのVPNの認証情報を使用して、BHIの内部ネットワークにアクセスするところから始まったという。そして初期アクセス後の1週間を通じて同じアカウントを使用して内部ネットワークの偵察を行うなどして、6月20日から29日の間に、BHIのWindows Active Directoryデータベースを含む690GBのデータが入ったファイル767,000件を盗み出したとのこと。データが盗まれた後、ファイルを暗号化するランサムウェアがすべてのデバイスに展開されたことで、BHIのチームは侵害に気づいたという。

同社は直ちに法執行機関に報告し、外部の専門家との連携を経て、同アクターの攻撃の足場を取り除いた。同社によると、この攻撃の影響を受けていないクラウドバックアップソリューションからデータを復旧できたため、身代金を支払う必要はなかったという。さらに同社は、VPNアクセスへの多要素認証の導入、パスワードリセットの実施、EDRとAVの導入拡大、レガシーシステムの廃止などを行い、セキュリティ対策を強化したとのこと。

この攻撃で流出したデータは氏名、生年月日、社会保障番号、健康情報だという。なお23日時点では、これらの情報はダークウェブ上の恐喝用ポータルにリークされていないようだ。

関連記事:Akiraランサムウェア、CiscoのVPNアカウントを悪用し企業ネットワークを侵害

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ