Okta は、ハッカー集団 Lapsus$ のメンバーが一部の顧客情報を盗み見ていた 2022 年 3 月のインシデントに関する分析を完了し、ゼロトラスト手法の導入によって攻撃の完遂を防ぐことができたと結論付けた。
Okta は IDaaS(サービスとしてのアイデンティティ管理)事業を行う企業。上記の見解は、同社のアジア太平洋および日本地域の最高セキュリティ責任者であるブレット・ウィンターフォードが、6 月 22 日にシドニーで行われたガートナー・リスク・アンド・セキュリティ・サミットで明らかにしたものだ。
ウィンターフォードによると、インシデントは 1 月から始まっており、この時は Sitel(Okta の元業務委託先企業)のサポートエンジニアが通常のネットワークの範囲外から Okta のシステムのパスワードリセットを試み、しかも多要素認証をパスしなかったのを、Okta のアナリストが把握していた。Microsoft365 で管理されている Sitel のメールアドレスに、リクエストに応じてパスワードリセット用のメールが送られたが、このリクエストは攻撃者側のキットで作成されたものだった。これは異常事態だ。Sitel がサポートサービスの提供に使用している仮想マシンで作られた認証リクエストは Okta側からも見ることができる。だが、Sitel の MS365 の中身を Okta は確認できない。
そのため Okta はこのユーザーを凍結し、Sitel に問題を全て報告するよう問い合わせを送った。Sitel は 1 件の Active Directoryアカウントに不正アクセスがあったことを認めた。
