[TOP](https://www.notion.so/shinofara-1a690b35713b45bf8ea599bfa73fb7df?pvs=21) > [[Tags/クリップ|クリップ]]
- ==index==
📎 クリップした記事
🏷️ タグ
🗞 登場した用語まとめ
> [!important]
> また見返す可能性の高い記事を [[Tags/クリップ|クリップ]] しています。
### 📎 クリップした記事
> [!info] Oktaのサポートケース管理システムへの不正アクセス: 根本原因と改善策
> このたび影響を受けられたお客様、そしてOktaをアイデンティティプロバイダーとして信頼してくださっているすべてのお客様に心よりお詫び申し上げます。私たちは、すべてのお客様に最新の情報をご提供することをお約束いたします。
> [https://www.okta.com/jp/blog/2023/11/harfiles/](https://www.okta.com/jp/blog/2023/11/harfiles/)
[https://blog.1password.com/files/okta-incident/okta-incident-report.pdf](https://blog.1password.com/files/okta-incident/okta-incident-report.pdf)
> 1Passwordは23日に公開した[報告書](https://blog.1password.com/files/okta-incident/okta-incident-report.pdf)(PDF)で、攻撃者は盗んだセッションcookieを使ってOktaテナントに侵入したとしている。攻撃者は管理者アカウントを侵害し、認証フローを操作し、組織内のユーザーになりすますためのセカンダリIDプロバイダーを確立しようとしたことが確認されたという。
>
> 1Passwordは9月29日にこの侵害を検知し、Oktaと協力して侵害の特定に努め、10月20日に確認した。その後、従業員の資格情報をすべてローテーションし、Oktaの構成を変更した。
>
> (引用: [https://www.itmedia.co.jp/news/articles/2310/25/news086.html](https://www.itmedia.co.jp/news/articles/2310/25/news086.html) )
つまり、1Password社の [[Terminology/Okta|Okta]] への侵入が成功して、継続的にユーザになり済ませるように設定を変更しようとしていたが、実現できず。
Oktaのレポートによると
> Oktaのカスタマーサポートシステムへの不正アクセスは、システム自体に保存されているサービスアカウントを利用していました。このサービスアカウントには、カスタマーサポートケースを閲覧・更新する権限が付与されていました。Okta Securityチームは、このアカウントの不審な使用について調査したところ、一人の従業員が、Oktaが管理するノートPCのChromeブラウザで個人のGoogleプロファイルにサインインしていることを確認しました。サービスアカウントのユーザー名とパスワードは、その従業員個人のGoogleアカウントに保存されていました。この資格情報が流出した経路として最も可能性が高いのは、その従業員の個人用Googleアカウントもしくは個人用デバイスの侵害です。
とのことなので、Oktaへの侵入に繋がった原因となる従業員は以下の状況だった
1. 従業員Aは会社PCを利用
2. 会社PCで会社の [[Terminology/Google Workspace|Google Workspace]] アカウントだけではなく、個人のGoogleアカウントも利用
3. 会社のOktaのサービスアカウントのID/PASSを、個人の [[Terminology/Google Password Manager|Google Password Manager]] で管理
そして可能性としては
1. Chromeには個人のプロファイルを設定
2. 1のプロファイルを利用したChromeで、会社のアカウントはもちろん、個人のアカウントにもログインしている。
1. プロファイルを使い分けてなかったのかな?まぁいいや
3. 個人のプロファイルの中で、会社の操作をしているので、結果ID/PASSは個人の [[Terminology/Google Password Manager|Google Password Manager]] に保存されちゃう
4. 結果従業員個人のPCか、そもそも個人のGoogleアカウントのセキュリティに問題があり利用された
たらればとして
1. 条件付きアクセスで会社PC以外から会社アカウントへのサインインはできないようにする
2. 会社PCでは会社のプロファイルしか利用できないようにする
1. ~~あれこれ出来るかな….(ぼくの知識には今は無い)~~ ==OKTAで対応してた==
![[Untitled 3.png|Untitled 3.png]]
3. そもそも会社のGoogleアカウント以外に….(防げないか)
Okta使ってないから関係ないやと思いがちだけど、これはたまたまOktaだっただけで、==本質的にはGoogle Workspaceの話==なので、利用企業は明日は我が身だなぁ。という浅い感想
### 🏷️ タグ
#### タグ
|Name|関連ページ数|
|---|---|
|[[Tags/セキュリティ\|セキュリティ]]|4|
|[[Tags/クリップ\|クリップ]]|315|
|[[Tags/インシデント\|インシデント]]|1|
### 🗞 登場した用語まとめ
#### 用語
|Name|
|---|
|[[Terminology/Google Password Manager\|Google Password Manager]]|
|[[Terminology/Okta\|Okta]]|
|[[Terminology/Google Workspace\|Google Workspace]]|
[TOP](https://www.notion.so/shinofara-1a690b35713b45bf8ea599bfa73fb7df?pvs=21) > [[Tags/クリップ|クリップ]]