セキュリティ

数多くの大企業を襲って注目を集めるハッカー集団「LAPSUS$」がアクセス管理企業のOktaにハッキングを仕掛けたことが判明


SamsungNVIDIAなど、数多くの大企業にハッキングを仕掛けたことで注目されている国際的ハッカーグループ「LAPSUS$」が、企業向けのアクセス管理サービスを提供するアメリカの企業・Oktaにハッキングを仕掛けたことが判明しました。

Updated Okta Statement on LAPSUS$ | Okta
https://www.okta.com/blog/2022/03/updated-okta-statement-on-lapsus/

Hackers hit authentication firm Okta, customers 'may have been impacted' | Reuters
https://www.reuters.com/technology/authentication-services-firm-okta-says-it-is-investigating-report-breach-2022-03-22/

Okta investigating claims of customer data breach from Lapsus$ group
https://www.bleepingcomputer.com/news/security/okta-investigating-claims-of-customer-data-breach-from-lapsus-group/

Okta confirms support engineer's laptop was hacked in January
https://www.bleepingcomputer.com/news/security/okta-confirms-support-engineers-laptop-was-hacked-in-january/

現地時間の2022年3月22日、LAPSUS$のハッカーがTelegramチャネルに投稿したスクリーンショットとメッセージがソーシャルメディアに出回りました。投稿されたスクリーンショットは、ハッカーがOktaの内部管理パネルにアクセスしたことを示しており、ハッカーの標的はOktaではなくOktaを利用する企業だとのこと。

Oh man, if this it what it looks (Okta got popped)… Blue Team everywhere is gonna be crazy busy. pic.twitter.com/PY4dIzfwvM

— _MG_ (@_MG_)


このツイートを受けて、Oktaのトッド・マッキノンCEOは「Oktaは2022年1月下旬に、委託業者であるサードパーティーのカスタマーサポートエンジニアのアカウントを侵害する試みを検出しました。問題は委託業者によって調査され、封じ込められました」「オンラインで共有されているスクリーンショットは、この1月のイベントに関連していると思われます。これまでの調査によると、1月に検出されたアクティビティ以外に悪意のあるアクティビティが進行しているという証拠はありません」と述べています。

We believe the screenshots shared online are connected to this January event. Based on our investigation to date, there is no evidence of ongoing malicious activity beyond the activity detected in January. (2 of 2)

— Todd McKinnon (@toddmckinnon)


その後にOktaが発表した声明によると、ハッカーは2022年1月16日~1月21日の5日間にわたり、サポートエンジニアのノートPCにアクセス可能だったとのこと。最高セキュリティ責任者のデビッド・ブラッドベリー氏は、「Oktaのサービスは侵害されておらず、完全に動作したままです。お客様が取るべき是正措置はありません」とコメントしています。


しかし、ブラッドベリー氏は同じ声明の中で「Oktaのお客様への潜在的な影響は、サポートエンジニアが持つアクセスに限定されています。これらのエンジニアはユーザーの作成や削除、または顧客データーベースのダウンロードを行うことができません。サポートエンジニアは、スクリーンショットに表示されている限られたデータ(Jiraチケットやユーザーリスト)にアクセスできるほか、ユーザーパスワードや多要素認証のリセットを容易にすることができますが、それらのパスワードを取得することはできません」と述べ、影響を受けた可能性がある顧客の特定および連絡を継続しているとしています。

海外メディアのロイターは、外部からこの問題を見ている専門家の中には、Oktaの説明に疑念を持つ人物もいると述べています。独立したセキュリティ研究者のBill Demirkapi氏は、「私からするとOktaは攻撃を可能な限り軽視しようと試みているように見え、自身の声明で直接矛盾を起こすところまで進んでいます」と指摘したほか、サイバーセキュリティコンサルタント企業・Phobos Groupの創設者であるDan Tentler氏は「(Oktaの顧客は)今すぐ警戒を非常に強めるべきです」と述べました。

また、CloudflareはLAPSUS$によるOktaへの攻撃に関連した内部調査の結果を報告しています。Cloudflareによると、LAPSUS$によるOktaへの攻撃を示すツイートに気づいた従業員がセキュリティインシデント対応チーム(SIRT)に連絡したことを受け、すぐに調査チームが立ち上げられたとのこと。調査チームは関連する監査ログを調べ、Oktaに連絡して情報提供を求めたほか、影響を受けた可能性があるユーザーのアカウントを停止するといった対応を取りました。また、2021年12月1日以降にパスワードや多要素認証のリセットが行われた144人の従業員に対して、パスワードのリセットと変更を強制したそうです。調査の結果、CloudflareはOktaへのハッキングに関連した侵害はなかったと結論づけています。

Cloudflare’s investigation of the January 2022 Okta compromise
https://blog.cloudflare.com/cloudflare-investigation-of-the-january-2022-okta-compromise/

なお、LAPSUS$は現地時間の3月20日に「Microsoftにハッキングした」と発表しており、Microsoftもハッキング被害を認めてその詳細を公開しています。

Microsoftのソースコードがハッカー集団「LAPSUS$」に盗まれ37GB分がネット上へ流出、Microsoftもハッキング被害を認める - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
SamsungがGalaxyのソースコードを盗まれたことを認める、個人情報は流出していないと主張 - GIGAZINE

NVIDIAが機密情報をハッキンググループに盗まれたことを認める、「GPUのマイニング制限を撤廃しろ」との脅しも - GIGAZINE

Samsungが190GB分の機密データをハッキングされる - GIGAZINE

NVIDIAから署名付き証明書データが流出しNVIDIA製ドライバーになりすましたマルウェアが複数登場 - GIGAZINE

世界各国の企業を荒らし回ったハッカー集団「REvil」のウェブサイトが政府機関に乗っ取られてオフラインに - GIGAZINE

無料でロシアのハッカーを退散させられる「トリック」とは? - GIGAZINE

謎の失踪を遂げたハッカー集団「REvil」のダークウェブサーバーが突然の復活 - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.