Cross-Origin Authenticationに対するクレデンシャルスタッフィング攻撃の検出

Okta
May 29, 2024

目次

※この記事はOkta Customer Identity Cloud (powered by Auth0)でCross-Origin Authentication機能をご利用のお客様向けの内容となります
このブログはこちらの英語ブログ(2024年5月29日公開)の翻訳、井坂源樹によるレビューです。

概要

Oktaは、Customer Identity CloudのCross-Origin Authentication機能が、クレデンシャルスタッフィング攻撃を仕組む攻撃者の標的になりやすいと判断しました。Okta Secure Identity Commitmentの一環として、またお客様のセキュリティに対するコミットメントの一環として、Oktaでは不審なアクティビティを定期的に監視・確認し、積極的にお客様に通知を行っています。今回のケースでは、この機能を有効にしていることを確認したお客様に積極的に通知し、お客様向けの電子メールにて追加のガイダンス(ご案内)を提供しました。

背景としては、多くのお客様にとって、Cross-Origin Authentication機能をサポートするために使用されるエンドポイントが、クレデンシャルスタッフィングを介して攻撃されていることを確認しました。この種の攻撃では、攻撃者は、過去のデータ侵害や関連性のないエンティティ、あるいはフィッシングやマルウェアによる攻撃から入手した可能性のあるユーザー名とパスワードの大規模なリストを使用して、オンラインサービスへのサインインを試みます。

この記事では、お客様がご自身のテナントにたいしてクレデンシャルスタッフィング攻撃がないか確認する方法と、推奨するアクションをご説明します。

不審なアクティビティの期間

Oktaでは、4月15日から不審なアクティビティが開始されたことを確認しています。すべてのテナントで継続的に発生するとは限りませんが、お客様のテナントに対してこの日以降の不審なアクティビティの有無を確認することをお勧めします。

確認すべきログイベント:

  • fcoa - Cross-Origin Authenticationに失敗しました
  • scoa - Cross-Origin Authenticationに成功しました
  • pwd_leak - 漏洩パスワードでのログイン試行がありました

推奨するアクション

テナントのログに予期しない fcoa、scoa、pwd_leak イベントがないか確認します。詳細については、ログイベントタイプコードを参照してください。

テナントがCross-Origin Authenticationを使用していないにもかかわらず、イベントログに scoaまたは fcoa イベントが存在する場合は、テナントがクレデンシャルスタッフィング攻撃の標的にされている可能性があります。

テナントがCross-Origin Authenticationを使用しており、4月に scoa イベントが急増したか、失敗イベントと成功イベントの比率(fcoa/scoa)が増加した場合は、テナントがクレデンシャルスタッフィング攻撃の標的にされた可能性があります。

クレデンシャルスタッフィング攻撃でユーザーのパスワードが漏洩してしまった場合、用心のため、そのユーザーの認証情報(パスワード)を直ちに変更する必要があります。

クレデンシャルスタッフィング攻撃からテナントを守る

以下は、クレデンシャルスタッフィング攻撃からユーザーを保護する最善の方法に関する推奨事項です。

長期的なソリューション

ユーザーの認証をパスワードレス、もしくはフィッシング耐性のある認証方式に変更します。そのためにUniversal Loginに移行されることを推奨します。最も安全なオプションとして、パスキーの使用をお勧めします。パスキーは、無料プランからエンタープライズプランまで、すべてのCustomer Identity Cloudのライセンスプランに含まれています。

中期的な緩和策

ユーザーが脆弱なパスワードを設定しないようにします。最低12文字、ユーザー名の一部を使用しないようにします。共通パスワードリストにあるパスワードの設定を禁止します。これらはパスワードポリシーで行うことができます。

多要素認証(MFA)を利用する設定を行います。Customer Identity Cloudでは、B2C Professionalプラン、B2B Essentialプラン、B2B Professionalプラン、Startupプラン、Enterpriseプランでご利用いただける様々なMFAオプションをご用意しています。

短期的な緩和策

  •  Cross-Origin Authenticationを使用しないテナントについては、Auth0 Management Consoleでそのエンドポイントを無効にし、この攻撃ベクトルを排除することができます。詳細については、Configure cross-origin authenticationを参照してください。
  • Cross-Origin Authenticationが必要な場合は、許可されるオリジンを制限します。
  • 現在、ご利用中のプランでサポートされている場合は、テナントのBreached Password Detection)または、理想としてはCredential Guardを有効にしてください。
    • Breached password detectionは、B2C プロフェッショナル、B2B プロフェッショナル、スタートアップ、およびエンタープライズプランで利用できます。
    • Credential Guard は、エンタープライズプランのアドオンとしてご利用いただけます。

サポートをご利用いただけるアカウントをお持ちで、さらに詳しい情報が必要な場合には、カスタマーサポートまでお問い合わせください。無料プランをご利用の場合には、コミュニティを経由して、お問い合わせください。プランごとの機能および利用可能性につきましては、価格ページをご覧ください。

以上の内容は、原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。

Previous
Next

October 24, 2024

「Okta Japan Volunteer Day 2024」活動報告:その1 - アフラックペアレンツハウス亀戸

By Okta
2020年9月にOkta Japanが創立し、早いもので4年が経ちました。その頃はまだ人も足りない、部署も足りない、オフィスもないなど無い無い尽くしでした。そんな中でも我々Okta Japanがこれだけやる!と行ってきたのが「Okta Japan Volunteer Day」です…

今すぐ読む

October 7, 2024

はじめてのOkta Workflowsシリーズ 第9回 API ConnectorのOAuth認可による連携

By Hiroki Oikawa 及川大樹
目次 OAuth2.0認可を提供するアプリケーションとAPI Connector API Connector コネクションにおけるOAuthの設定 アプリケーションOAuth2.0設定 -Box編 アプリケーションOAuth2.0設定 -Google Workspace編 最後に Okta Workflowsシリーズ…

今すぐ読む

September 30, 2024

Okta Career Meet upを開催しました〜働く場としてのOktaを見てみよう〜

By Aya Shiomi
目次 開催の目的 当日の様子 さいごに 9月5日にOkta Career Meet upと称して渋谷にある弊社のオフィスにて採用イベントを開催しました。実は当イベントは当初、8月29日の開催予定でしたが、台風の予報により1週間延期となりました。日程変更、またご多用中にもかかわらず…

今すぐ読む

September 16, 2024

Okta Admin Console 日本語UIが一般提供開始となります

By 南野 要
目次 Admin Consoleを日本語UIで利用する方法 Admin Consoleを英語UIで利用する方法 最後に Okta Workforce Identity Cloudの管理者向け設定画面「Okta Admin Console」の日本語UIについて、以前のブログでEarly Access (早期アクセス…

今すぐ読む

September 10, 2024

初めてのOkta Workforce Identity Cloud (WIC) [第5回] 「セルフサービスのアカウント復旧」ってどうやるの?

By 岸本 卓也
目次 メールだけでパスワード復旧する 2つのオーセンティケーターを使って、パスワード復旧する パスワードを何度も間違えてロックアウトされた場合の復旧 まとめ 本ブログ記事では、Okta Workforce Identity Cloud (以降、Okta WIC) での「Self-service account…

今すぐ読む