ハッカー集団LAPSUS$は月曜日の夜、ユーザー認証・データ管理企業Oktaの管理者権限を取得したと主張するスクリーンショットを投稿した。もしこれが事実であれば、Oktaのサービスを利用する多くの大企業にとって深刻な事態となる可能性がある。ハッカーらはOktaに保存されているパスワードを利用して、他社のネットワークに侵入する可能性があるからだ。
「Okta.comのスーパーユーザー/管理者システムやその他のシステムにアクセスした際の写真です」と、ハッキンググループはTelegramチャンネルに投稿した。「多くの大企業の認証システムを支えるサービス(そしてFEDRAMP承認済み)としては、このセキュリティ対策はかなり不十分だと思います。」
ハッカーグループはさらに、Okta自体のデータベースにアクセスしたり盗んだりしていないと大文字で説明し、「我々の標的はOktaの顧客のみだった」と説明した。
スクリーンショットには今年1月のタイムスタンプが含まれているため、スクリーンショット自体が本物であれば、ハッカーが数ヶ月前からOktaのシステムにアクセスしていたことが示唆されます。ハッカーが現在もそのアクセス権を保持しているかどうかは不明です。Okta側は、ハッカーによるネットワークへの侵入は限定的で、しかも下請け業者を介してのみ行われたと主張しています。
「2022年1月下旬、Oktaは、当社のサブプロセッサーの1つに勤務するサードパーティのカスタマーサポートエンジニアのアカウントを侵害しようとする試みを検出しました」と、同社の広報担当者であるクリス・ホリス氏は火曜日早朝、ギズモードへのメールで述べた。
この件は再処理業者によって調査され、収束に至りました。オンラインで共有されたスクリーンショットは、1月に発生した事象に関連していると考えられます。これまでの調査では、1月に検出された活動以外に悪意のある活動が継続しているという証拠は見つかっておりません。
ロイター通信が最初に報じたこのハッキングは、LAPSUS$が月曜日にマイクロソフトのBing検索エンジンとCortana仮想アシスタントのソースコード37GB分を入手したと主張したことを受けて起きた。
LAPSUS$は過去にNvidia、Ubisoft、Samsungといったテクノロジー企業をハッキングしており、Bleeping Computerの指摘によると、典型的なデータ恐喝モデルで活動している。このハッキンググループは大量の機密データを入手し、ハッキングされた企業から多額の身代金を受け取るために身代金を要求している。身代金が支払われない場合、LAPSUS$はデータを漏洩させる。
より一般的なランサムウェアの場合、データは暗号化され、内部の人間は自分の情報にアクセスできなくなりますが、Wiredが指摘しているように、LAPSUS$はデータをロックするといったことはしません。彼らはただデータを盗み出すだけであり、これは非常に異例なことです。
LAPSUS$は、Oktaハッキングに関連するような要求を一切行っていない。少なくとも今のところは。
