‣
また見返す可能性の高い記事を クリップ しています。
📎 クリップした記事
1Passwordは23日に公開した報告書(PDF)で、攻撃者は盗んだセッションcookieを使ってOktaテナントに侵入したとしている。攻撃者は管理者アカウントを侵害し、認証フローを操作し、組織内のユーザーになりすますためのセカンダリIDプロバイダーを確立しようとしたことが確認されたという。
1Passwordは9月29日にこの侵害を検知し、Oktaと協力して侵害の特定に努め、10月20日に確認した。その後、従業員の資格情報をすべてローテーションし、Oktaの構成を変更した。
(引用: https://www.itmedia.co.jp/news/articles/2310/25/news086.html )
つまり、1Password社の Okta への侵入が成功して、継続的にユーザになり済ませるように設定を変更しようとしていたが、実現できず。
Oktaのレポートによると
Oktaのカスタマーサポートシステムへの不正アクセスは、システム自体に保存されているサービスアカウントを利用していました。このサービスアカウントには、カスタマーサポートケースを閲覧・更新する権限が付与されていました。Okta Securityチームは、このアカウントの不審な使用について調査したところ、一人の従業員が、Oktaが管理するノートPCのChromeブラウザで個人のGoogleプロファイルにサインインしていることを確認しました。サービスアカウントのユーザー名とパスワードは、その従業員個人のGoogleアカウントに保存されていました。この資格情報が流出した経路として最も可能性が高いのは、その従業員の個人用Googleアカウントもしくは個人用デバイスの侵害です。
とのことなので、Oktaへの侵入に繋がった原因となる従業員は以下の状況だった
- 従業員Aは会社PCを利用
- 会社PCで会社の Google Workspace アカウントだけではなく、個人のGoogleアカウントも利用
- 会社のOktaのサービスアカウントのID/PASSを、個人の Google Password Manager で管理
そして可能性としては
- Chromeには個人のプロファイルを設定
- 1のプロファイルを利用したChromeで、会社のアカウントはもちろん、個人のアカウントにもログインしている。
- プロファイルを使い分けてなかったのかな?まぁいいや
- 個人のプロファイルの中で、会社の操作をしているので、結果ID/PASSは個人の Google Password Manager に保存されちゃう
- 結果従業員個人のPCか、そもそも個人のGoogleアカウントのセキュリティに問題があり利用された
たらればとして
- 条件付きアクセスで会社PC以外から会社アカウントへのサインインはできないようにする
- 会社PCでは会社のプロファイルしか利用できないようにする
あれこれ出来るかな….(ぼくの知識には今は無い)OKTAで対応してた- そもそも会社のGoogleアカウント以外に….(防げないか)
Okta使ってないから関係ないやと思いがちだけど、これはたまたまOktaだっただけで、本質的にはGoogle Workspaceの話なので、利用企業は明日は我が身だなぁ。という浅い感想