2022年3月25日

一般情報とタイムライン

何が起きたのですか？

2022年1月20日、Okta Securityチームは、Oktaがカスタマーサポート業務の一部を外注しているSitel社のカスタマーサポートエンジニアが保有するOktaアカウントに新しい要素が追加されていたとの警告を受けました。この要素はパスワードでした。当該の試みは失敗に終わりましたが、慎重を期してアカウントをリセットし、Sitelに通知しました。その後、Sitelは大手フォレンジック会社に調査を依頼しました。

次のタイムラインは、主要なマイルストーンの概要を示しています。

タイムライン（協定世界時：UTC）

2022年1月20日23:18 - Okta Securityは、過去にアクセスされたことがない新しい場所からSitel従業員のOktaアカウントに新しい要素が追加されたというアラートを受け取りました。ターゲットとされたOktaアカウントはそのMFAの認証を受け入れず、Oktaアカウントへのアクセスを阻止しました。
2022年1月20日23:46 - Okta Securityはアラートを調査し、セキュリティインシデントにエスカレートしました。
2022年1月21日00:18 - ユーザーのアカウントの封じ込めを支援するために、Oktaサービスデスクがこのインシデントの担当に追加されました。
2022 年1月21日00:28 - Oktaサービスデスクは、ユーザーのOktaセッションを終了し、疑わしいアクティビティの根本原因を特定して改善できるまでこのアカウントを一時停止しました。
2022年1月21日18:00 - Okta Securityは、Sitelと侵害の指標を共有しました。Sitelは、大手フォレンジック会社の外部サポートを依頼したと当社に連絡しました。
2022年1月21日～2022年3月10日 - フォレンジック会社によるインシデントの調査と分析は2022年2月28日まで行われ、Sitelへの報告書は2022年3月10日付で提出されました。
2022年3月17日 - OktaはSitelからインシデントに関するサマリーレポートを受け取りました。
2022年3月22日03:30 - LAPSUS$によってスクリーンショットがオンラインで共有されました。
2022年3月22日05:00 - Okta Securityは、スクリーンショットがSitelでの1月のインシデントに関連していると判断しました。
2022年3月22日12:27 - OktaはSitelから完全な調査報告書を受け取りました。

FAQ

なぜ、この5日間に限定されると思われるのですか？

Sitelのベンダー（大手フォレンジック会社）からのフォレンジックレポートでこの期間を確認し、私たちもログを確認することでこの期間を検証したため、アクティビティはこの5日間に限定されていると確信しています。

Oktaは、Okta Securityが攻撃者に気づいた日付として1月20日と記載していますが、1月16日から1月20日の間に何があったのでしょうか？

Sitelが依頼した大手フォレンジック会社のフォレンジックレポートでは、この5日間が結論の一部となっています。これは、Oktaが2022年1月20日に検知したアクティビティや、3月21日に脅威者が提供したスクリーンショットと一致しています。

1月20日、Oktaは、Sitel従業員のOktaアカウントを使用して、Oktaに直接アクセスしようとする試みを確認しました。このアクティビティは、Oktaによって検知・ブロックされ、上記のタイムラインにあるとおり、速やかにSitelに通知しました。

このアクセスの試み以外に、Oktaのシステムで疑わしいアクティビティがあった形跡はありません。

なぜ、Oktaは1月にお客様に通知しなかったのですか？

Oktaは誤ちについて承知しております。Sitelは当社のサービスプロバイダーであり、当社が最終的な責任を負っています。

1月の時点では、OktaはSitelの問題の程度を把握しておらず、アカウント乗っ取りの試みを検知して阻止したこと、Sitelが第三者のフォレンジック会社に調査を依頼したことだけが分かっていました。その当時、Oktaとお客様に生じるリスクを認識していませんでした。より積極的かつ強硬にSitelから情報を入手すべきでした。

過去1週間にわたって集めた証拠を踏まえると、今日あるすべての事実を把握していれば、異なる判断を下していたことは明らかです。

1月に起きた侵害の範囲、つまりどのようなデータ/情報にアクセスしたのかを教えてください。

Sitelへの侵害は、1月の5日間に限定されていました。2022年3月22日にSitelから受け取った最終版のフォレンジックレポートでは、攻撃者がSitelにアクセスできたのは2022年1月16日から21日の5日間だったと結論付けています。これは、脅威者が2022年3月21日に投稿したスクリーンショットと一致しています。

侵害の潜在的な範囲を評価する際に、Sitelのサポートエンジニアのアクセスが意図的に制限されていることをご理解ください。これらのエンジニアは、ユーザーの作成や削除、顧客データベースのダウンロードを行うことができません。サポートエンジニアは、ユーザーのパスワードと多要素認証要素のリセットを促すことはできますが、それらのパスワードを取得することはできません。言い換えれば、このレベルのアクセス権を持つ個人は、ユーザーに対してパスワードのリセットを繰り返しトリガーすることができますが、サービスにログインすることはできません。

Oktaのブログで詳しくご説明しているように、影響を受けた可能性のあるお客様を特定し、すでに連絡を取っております。Auth0とAtSpokeのお客様への影響はなく、また、HIPAAとFedRAMPのお客様への影響もございません。

SuperUserアクセスとはどういう意味ですか、また何ができますか？

Oktaのお客様に影響を与える可能性があるのは、サポートエンジニアが持つアクセス権に限定されます。

スクリーンショットに示されているように、「SuperUser」アプリケーションは、カスタマーサポートエンジニアの基本的なサポートアクセスを提供するOkta内部のサポートツールであり、「スーパー管理者」とは同義ではありません。これは、そのすべてのユーザーに「神のようなアクセス」を提供するものではありません。このアプリケーションは最小限の権限を念頭に置いて構築されており、サポートエンジニアが自身の役割を果たすうえで必要な特定のアクセスのみが許可されるようになっています。

これらのエンジニアは、ユーザーの作成や削除、顧客データベースのダウンロードを行うことができません。サポートエンジニアは、スクリーンショットにあるような限られたデータ（例えば、Jiraチケットやユーザーのリストなど）にアクセスすることはできます。また、サポートエンジニアは、ユーザーのパスワードやMFA要素のリセットを促すことができますが、これらのパスワードを取得することはできません。

第三者のサービスプロバイダーはどこですか？

Sykes Enterprises, Inc.（2021年9月にSitelが買収）が、Oktaに代わってカスタマーサポートエンジニアリングを提供する第三者のサービスプロバイダーです。3月26日（土）より、Sykes/Sitelとの関係を解消し、同社のアカウントアクセスを終了しました。

Oktaでは、影響を受けた可能性のある顧客の数をどのようにして判断したのですか？

このインシデントの影響範囲を判断する過程で、Oktaのチームは、最悪のシナリオを想定し、Sitelが侵害を受けた5日間に同社の全従業員が行ったSuperUserアプリケーションへのすべてのアクセスを調査しました。当社は影響を受けた可能性のあるお客様が最大で366（お客様の約2.5%）に及ぶと判断しました。これは、Sitelから該当期間にアクセスされたOktaテナントを所有するOktaのお客様の総数を表しています。この数は過大に見積もられています。該当期間にSitelがカスタマーサポートで行った正当なアクセスがすべて含まれているからです。

データのアクセスまたは流出があったかどうかを検出するためのログなどの具体的な手段はありますか？

Oktaは積極的に調査を続けており、ログやその他のデータソースを活用しています。

この問題が第三者サービスプロバイダーによって改善されたという保証はありますか？

Sitelは、この問題を修正したことをOktaに確認しました。

パスワードをリセットする必要がありますか？

Oktaのサービスは侵害されていないという結論に確信を持っているため、お客様に是正措置を取っていただく必要はありません。

この結論に確信があるのは、Sitel（すなわちSitelが持っていたアクセス権のみを持つ脅威者）がユーザーの作成や削除、顧客データベースのダウンロードを行えなかったからです。

また、サポートエンジニアは、ユーザーのパスワードや多要素認証の要素のリセットを促すことはできますが、それらのパスワードを取得することはできません。

このアクセス権を利用するためには、攻撃者はターゲットユーザーの侵害されたメールアカウントに独自にアクセスする必要があります。

どのようにして特定のOkta orgが影響を受けていないことを判断できますか？

Oktaは、影響を受けた可能性のあるすべてのお客様に連絡を取りました。さらに、影響を受けていないお客様にも通知しております。

Oktaのテクニカルサポートエンジニア（TSE）の役割や責任はどのようなものですか？

Oktaはナレッジベースの記事を公開しました。こちらで、Oktaでサポートに関する問い合わせを解決する際のお客様の一次対応者となるOktaテクニカルサポートエンジニア（TSE）の役割や責任、通常の業務について彼らの視点から説明しています。

System Logを使用したOktaテナントでのカスタマーサポートアクションの監査についての情報はどこで確認できますか？

Oktaはナレッジベースの記事を公開しました。こちらで、Okta管理者、またはOktaのカスタマーサポートツールであるSuper User（SU）を使用するTSE（テクニカルサポートエンジニア）によるパスワードとその他の要素のリセットや更新が記録されたOkta System Logを監査する方法について詳しく説明しています。この記事では、TSEによるなりすましアクセスのクエリを検索する方法についても取り上げています。このアクセスはOktaサポートによるユーザー対応時にのみOkta管理者が許可できるものです。

追加情報はどこで入手できますか？

okta.com/transparencyでいくつかのアセットを公開しており、可能な限り多くの情報を提供しています。Todd McKinnon（CEO）とDavid Bradbury（CSO）の動画や、調査の概要、Okta管理者のためのセキュリティのベストプラクティスに関する記事に加え、テクニカルサポートエンジニアの役割の詳細な分析も公開しています。引き続き準備ができ次第、このページに新しいリソースを投稿していきます。