パスワード管理アプリ「1Password」の開発企業で「不審なアクティビティ」が検出される
パスワード管理アプリ「1Password」の開発企業が社内で不審なアクティビティを検出したことを発表しました。不審なアクティビティは1Password社内で利用されている認証システム「Okta」を介して発生していたことが明らかになっています。
Okta incident and 1Password | 1Password
https://blog.1password.com/okta-incident/
We detected suspicious activity on our Okta instance but confirmed no user data was accessed.
— 1Password (@1Password) October 23, 2023
Pedro Canahuati, our CTO, provides more information in this blog post https://t.co/x2bAUvw7ez, which includes our internal Okta Incident Report for additional details.
1Passwordの報告によると、2023年9月29日に従業員向けアプリの管理に使っているOktaインスタンス上で不審なアクティビティが検出されたとのこと。
不審なアクティビティを検出した直後に1Passwordは社内の活動を停止し、調査を実施。その結果、1Passwordのユーザーデータに対する侵害は発見されず、1Password社内の機密データに対する侵害も発見されませんでした。1Passwordは「徹底的な調査をもとに、1Passwordのユーザーデータにはアクセスされていないと結論付けました」と述べており、不審なアクティビティがユーザーに影響しないことを強調しています。
1PasswordはOktaインスタンスで不審なアクティビティを検出したことを受けてOktaと協力して調査を進め、不審なアクティビティが「Oktaのサポートシステムへの不正アクセス」と関連していることを突き止めました。
Oktaが公開した侵害レポートによると、攻撃者はOktaの認証情報を盗み出してOktaのサポートケース管理システムにアクセスしていたとのこと。これにより、攻撃者はOktaのユーザーによってアップロードされたファイルを閲覧できる状態になっていました。Oktaはすでに影響を受ける顧客に対して通知を送信しており、通知を受け取っていない顧客は今回の侵害の影響を受けないとのこと。また、Oktaは侵害レポートの中で「侵害の痕跡」として以下のIPアドレスを公開しています。
23.105.182.19
104.251.211.122
202.59.10.100
162.210.194.35 (BROWSEC VPN)
198.16.66.124 (BROWSEC VPN)
198.16.66.156 (BROWSEC VPN)
198.16.70.28 (BROWSEC VPN)
198.16.74.203 (BROWSEC VPN)
198.16.74.204 (BROWSEC VPN)
198.16.74.205 (BROWSEC VPN)
198.98.49.203 (BROWSEC VPN)
2.56.164.52 (NEXUS PROXY)
207.244.71.82 (BROWSEC VPN)
207.244.71.84 (BROWSEC VPN)
207.244.89.161 (BROWSEC VPN)
207.244.89.162 (BROWSEC VPN)
23.106.249.52 (BROWSEC VPN)
23.106.56.11 (BROWSEC VPN)
23.106.56.21 (BROWSEC VPN)
23.106.56.36 (BROWSEC VPN)
23.106.56.37 (BROWSEC VPN)
23.106.56.38 (BROWSEC VPN)
23.106.56.54 (BROWSEC VPN)
また、攻撃者は以下のユーザーエージェントを使っていたとのこと。ユーザーエージェント自体は通常のChrome 99のものですが、Oktaは「Chrome 99のリリース時期が2022年3月であることを考えると、このユーザーエージェントは希少である可能性があります」と指摘しています。
Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.7113.93 Safari/537.36 (Legitimate, but older user-agent)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.83 Safari/537.36 (Legitimate, but older user-agent)
なお、1Passwordのインシデントレポートは以下から閲覧できます。
Copy of Okta Incident Report Final - okta-incident-report.pdf
https://blog.1password.com/files/okta-incident/okta-incident-report.pdf
・関連記事
創業17年のパスワード管理サービス「1Password」がカナダ企業最高額の700億円超を調達、ライアン・レイノルズやスカーレット・ヨハンソンも出資 - GIGAZINE
使い捨てメールアドレスを作り放題な新機能「Masked Email」を1Passwordがリリース、ブラウザでもスマホでも利用可能 - GIGAZINE
パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵 - GIGAZINE
「セキュリティリスクが高い」のにパスワードが認証方法として使われ続ける理由とは? - GIGAZINE
経営者や管理職も脆弱なパスワードやダサいパスワードを使いがち - GIGAZINE
無料で使えてデバイス間での自動同期にも対応しているパスワードマネージャー「bitwarden」を使ってみた - GIGAZINE
・関連コンテンツ
