デジタル セキュリティ認証会社 Okta は、侵害発生から約 2 か月後に Microsoft と Nvidia のハッカー LAPSUS$ の標的になったことを確認し、 眉をひそめました。
サイバーセキュリティインシデントの初期段階からハッキングが公式に認められるまでの期間は、セキュリティ研究者とテクノロジーコミュニティの間で深刻な懸念を引き起こしました。 Oktaは今回、同社が間違いを犯したことを認めた状況に関するFAQを公開した。
LAPSUS$ は、1 月に顧客の 1 つである Sitel に侵入し、Okta のシステムにアクセスしたと主張しました。 Okta は、1 月 20 日に不審なアクティビティを検出したと述べ、そのことを認めました。3 月 17 日に「シテルから事件に関する概要報告書」を受け取ったと述べています。
しかし、Okta がハッキングを確認したのは、LAPSUS$ が先週機密画像を公開した後でした。政府機関を含む世界最大手の企業に認証技術を提供している同社は、激しい反発に対して FAQ で次のように回答した。
「私たちは間違いを犯したことを認めたいと思います。 Sitel は、当社が最終的な責任を負うサービスプロバイダーです。
「1月の時点では、私たちはSitelの問題の範囲を知りませんでした。ただ、私たちがアカウント乗っ取りの試みを検出して阻止したことと、Sitelが調査のために第三者のフォレンジック会社を雇ったということだけでした。当時、私たちは Okta とお客様にリスクがあるとは認識していませんでした。シテルからもっと積極的かつ強制的に情報を強制すべきだ。
「先週我々が収集した証拠を考慮すると、もし今日我々が持っているすべての事実を把握していれば、我々が異なる決断を下したであろうことは明らかである。」
他の箇所では、独立セキュリティ研究者のビル・デミルカピ氏が ワイアードに共有した 漏洩文書は、サイテルのセキュリティシステムと緩和対応の強さ、あるいはその明らかな欠如に疑問を投げかけるとともに、「事件に対するOktaの対応における明らかなギャップ」を明らかにしている。
報告書によると、LAPSUS$ は、Sitel のシステムにさらにアクセスするために、パスワードを抽出するように設計された Mimikatz などのツールに依存していました。
「攻撃スケジュールはシテルグループにとって恥ずかしいほど憂慮すべきことだ」とデミルカピ氏は強調した。 「攻撃者は運用上のセキュリティを維持しようとはまったくしませんでした。彼らは文字通り、既知の悪意のあるツールを侵害されたマシン上でインターネットを検索し、公式ソースからダウンロードしました。」
強い反発
いずれにせよ、セキュリティ研究者とOkta自身の顧客の両方が、同社のハッキングへの対応に非があることを発見した。
たとえば、 Computing.co.uk が報じた ように、サイバーセキュリティ企業であり Okta の顧客でもある Tenable CEO の Amit Yoran 氏は、LinkedIn 経由で Okta に宛てた次のような強い言葉の声明を 発表しました。
「あなたは適切に調査しなかったか、漏洩が発覚した1月にそれを公表しませんでした。 LAPSUS$ に言い負かされたとき、あなたはその事件を無視し、文字通り顧客に実用的な情報を提供しませんでした。その後、LAPSUS$ はあなたの明らかな虚偽記載についてあなたを非難しました。そうして初めて、顧客のセキュリティの 2.5% (数百) が侵害されたと判断し、認めることになります。そして、実用的な詳細や推奨事項はまだ存在しません。
「侵害の兆候は公表されておらず、潜在的なリスクの増大を軽減する方法に関するベストプラクティスやガイダンスも公表されていません。顧客として言えることは、Okta から連絡がなかったということだけです。」
デミルカピ氏は先週この事件について 最初にコメントした 際、前述の公開書簡の感情を同調した。 「私の意見では、彼らは攻撃を可能な限り軽視しようとしており、自らの発言で真っ向から矛盾するところまで行っているように見える」と同氏は述べた。
一方、Wiredによると、LAPSUS$に関係するハッカー7人(16歳から21歳)が先週ロンドンで逮捕されたようだ。しかし、最終的には全員が正式に起訴されることなく釈放された。
LAPSUS$ はハッキング コミュニティにかなり参入しました。私たちは最初に を通じてこの存在を知りましたが、最近では Microsoft のシステムへの侵入が続きました。後者の企業については、すでに Cortana とその Bing 検索エンジンのソース コードが漏洩していると 伝えられています。