Oktaのサポート管理システムへの不正アクセスについて

Okta Securityチームは、盗まれた資格情報を利用してOktaのサポートケース管理システムにアクセスする脅威行為を確認しました。

この脅威者は、Oktaの特定の顧客が最近のサポートケースの一部としてアップロードしたファイルを閲覧することができました。なお、Oktaのサポートケース管理システムは、本番のOktaのサービスとは完全に独立しており、Oktaのサービスは完全に稼働しており、影響は受けていません。また、Auth0/CICケース管理システムは、今回のインシデントによる影響はありません。

注意: 本件で影響を受けたすべてのお客様にはご連絡済みです。Oktaをご利用中のお客様で、別のメッセージや方法で連絡がない場合は、ご利用中のOkta環境やサポートチケットに影響はありません。

通常、Oktaのサポートでは、HTTPアーカイブ(HAR)ファイルのアップロードをお客様にお願いしています。HARファイルは、ブラウザのアクティビティを再現することで、問題のトラブルシューティングを可能にします。HARファイルには、クッキーやセッショントークンなどの機密データが含まれている可能性があり、悪意のある脅威者が有効なユーザーになりすますために使用することができます。Oktaでは、影響を受けたお客様と協力して調査を行い、埋め込まれたセッショントークンの失効など、お客様を保護するための対策を講じました。一般的に、OktaではHARファイル内のすべての資格情報とクッキー/セッショントークンをサニタイズしてから共有することを推奨しています。

このような攻撃は、警戒を怠らず、不審な活動に注意を払うことの重要性を浮き彫りにしています。当社では、お客様ご自身で脅威の探索を行う際の参考となるよう、以下の「侵害の兆候(Indicators of Compromise)」を公開しています。不審なセッション、ユーザー、IPについてSystem Logを検索する方法については、以前公開したアドバイスを参照することをお勧めします。当社のエンリッチメント情報によると、兆候の大半は商用VPNノードであることにご注意ください。

IPアドレス:

23.105.182.19
104.251.211.122
202.59.10.100
162.210.194.35 (BROWSEC VPN)
198.16.66.124 (BROWSEC VPN)
198.16.66.156 (BROWSEC VPN)
198.16.70.28 (BROWSEC VPN)
198.16.74.203 (BROWSEC VPN)
198.16.74.204 (BROWSEC VPN)
198.16.74.205 (BROWSEC VPN)
198.98.49.203 (BROWSEC VPN)
2.56.164.52 (NEXUS PROXY)
207.244.71.82 (BROWSEC VPN)
207.244.71.84 (BROWSEC VPN)
207.244.89.161 (BROWSEC VPN)
207.244.89.162 (BROWSEC VPN)
23.106.249.52 (BROWSEC VPN)
23.106.56.11 (BROWSEC VPN)
23.106.56.21 (BROWSEC VPN)
23.106.56.36 (BROWSEC VPN)
23.106.56.37 (BROWSEC VPN)
23.106.56.38 (BROWSEC VPN)
23.106.56.54 (BROWSEC VPN)

ユーザーエージェント:

以下のユーザーエージェントは正当なものですが、2022年3月にChrome 99がリリースされたことを考えると、貴社の環境では稀かもしれません。

Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.7113.93 Safari/537.36 (正当だが古いユーザーエージェント)

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.83 Safari/537.36 (正当だが古いユーザーエージェント)