Okta、10月のデータ侵害で影響受けたのはカスタマーサポートシステムの全利用者だったと公表
(情報源:BleepingComputer – November 29, 2023)
Oktaは、10月に発生したカスタマーサポートシステムへのハッキングにおいて、ハッカーが当該システムの全利用者のデータを入手していたことを明かした。同社が11月初旬に公表していた侵害通知においては、影響を受けたのはシステム利用者の「1%弱(134顧客)」だったとされていたが、実際の影響範囲はこれよりかなり広かったことになる。
Previously Okta reported a breach in October that resulted in approx. 1% of customer support users having their data stolen
November 29th Okta reports that they were wrong, 100% of customer support users had their data stolen.https://t.co/57pscHtWyi
— vx-underground (@vxunderground) November 29, 2023
(↑本件は、X /旧Twitterでも話題に)
10月20日の発表では、134顧客への影響が明かされる
当初発表の134顧客に関しては、トラブルシューティングのためにサポートシステムへアップロードされたHARファイルにハッカーがアクセスしたとされる。これらのファイルにはCookie情報やセッショントークンなど、Oktaセッションの乗っ取りに利用される恐れのある情報が含まれていた。
カスタマーサポートシステム全利用者の名前とEメールも盗まれていた
一方で今回新たに明かされたのは、さらなる調査により、ハッカーが「カスタマーサポートシステムの全利用者の名前とメールアドレスを含むレポートもダウンロードしていた」ことも発覚したという事実。このレポートには、フルネーム、ユーザー名、Eメール、企業名、ユーザータイプ、住所、パスワード最終変更/リセット履歴、役職、電話番号、携帯電話番号、タイムゾーン、SAMLのフェデレーションIDが含まれていたという。ただし、Oktaによれば、99.6%の利用者に関しては、入手可能な状態の連絡先情報はフルネームとメールアドレスのみだったとされる。また同社は、認証情報の漏洩はなかったとしている。
フィッシングやソーシャルエンジニアリングのリスクも
とはいえ、脅威アクターらにとっては名前とメールアドレスだけあればフィッシング攻撃やソーシャルエンジニアリング攻撃を仕掛けるのに十分であることから、Oktaは顧客に対し、管理者アクセスへのMFA導入など、攻撃被害防止のための対策を提供している。
11月30日:その他のサイバーセキュリティ関連ニュース
米財務省、北朝鮮のハッカーらが利用する仮想通貨ミキサーSinbadに制裁措置
The Record – November 30th, 2023
米財務省外国資産管理局(OFAC)は29日、北朝鮮のハッカーLazarus Groupが過去2年間の攻撃で盗んだ数百万ドル相当の仮想通貨の資金洗浄のために利用していたとされる、人気の仮想通貨ミキサーSinbad.ioに対する新たな制裁を発表した。また、同プラットフォームのWebサイトも差し押さえられ、複数の法執行機関のバナーに置き換えられたという。同ミキサーはほかにも制裁逃れ、麻薬取引、児童性的虐待関連商品の売買などの取引に関する捜査当局による追跡を困難にするためにも利用されていて、専門家らによると、同ミキサーは昨年OFACが制裁を課した別のミキサーであるBlender.ioの後継である可能性が高いという。OFACによる今回の発表は、米国市民によるSinbadとの取引を一切禁止することを意味しており、同ミキサーとの取引を摘発された者は同様に制裁を受ける可能性がある。
CISA、Unitronics社製PLCの悪用に警告 水道局へのハッキング受け
SecurityWeek – November 29, 2023
ハッカーが米国の水道局の産業用制御システムを侵害した後、米CISAは標的となったUnitronics社のプログラマブルロジックコントローラー(PLC)であるVisionシステムの悪用について警告を発した。このようなPLCは上下水道分野の組織でプロセスの制御と監視に使用されているため、攻撃を受けると施設がきれいな水を提供し、廃水を効果的に管理する能力が脅かされる恐れがあるという。攻撃から身を守るため、CISAは組織に対し、デフォルトのパスワードである「1111」を変更すること、OTシステムへのリモートアクセスに多要素認証を要求すること、コントローラーがインターネットに直接露出しないようにすること、PLCが侵害された場合に備えてロジックとコンフィグレーションのバックアップを作成すること、デフォルトのポートを変更すること、デバイスを最新バージョンに更新することを要請している。また、水道分野の組織のシステムを保護するために無料の脆弱性スキャンサービスも提供している。