Oktaの顧客サポートシステムの全ユーザーの情報が盗まれたらしい話

微妙なセキュリティインシデントがちょいちょい起こるOkta。企業としては立派だしセキュリティインシデントが起きてしまうこと自体は別になんとも思わないけど、だいぶ引っかかる点があるので自分用の備忘録も兼ねて文字に残しておく。

まずは直近のインシデントの一次情報から紹介する。9/20のブログである。

Oktaのサポート管理システムへの不正アクセスについて

ここからは「Oktaのサポートケース管理システム」に侵入されたことがわかる。サポート問い合わせのためにHARファイルをアップロードしていた場合は顧客のcookieやセッショントークンを盗まれるリスクを記載している。
HARファイルは問題調査のためにベンダーがよく欲しがるものではあるが、信頼関係がないと今後は厳しい気がする。だって、Oktaのインシデントは何度も発生している。（この時点では顧客の１％が情報を盗まれたと発表している）

そして11月28日にすべての顧客の情報が漏れていたと発表する。

10月公表のカスタマーサポート管理システムのセキュリティインシデントに関する最新情報と対策

これはひどすぎる。
盗まれたのは9/28なのだから、影響範囲の発表に2か月もかかっている。しかも、外部から何度も指摘された末の遅い対応である。

時系列が前後して申し訳ないが、10月時点でメディアにボロボロに書かれている。

Oktaで昨年に続く2度目の不正アクセス、セキュリティ体制の不備に顧客らが厳しい目

厳しい目というのは当然だろう。
HARファイルを盗まれた顧客はWebブラウザのセッション情報を盗まれているのだ。Oktaというサービスの性質上、重要なシステムにログインするセッションがHARファイルに含まれている可能性が高い。セッションが盗まれれば二要素認証もパスワード情報すら不要でシステムにログインして情報を窃取される。（MicrosoftがMS365に侵入されたときのように）

大手セキュリティメーカーが悪意のあるハッキングによって情報を盗まれる例はある。国家的な支援を受けた攻撃グループによるものなら防ぐのが難しい例もあるだろう。しかし、従業員（委託者？）が業務で使うPCで個人のブラウザプロファイルでログインし、業務ログイン情報を保存していたのが、私用PCのプロファイルから盗まれたという何とも言えない経緯。
似たようなインシデントを繰り返すOkta。インシデント発生時にもセキュリティメーカーとは思えないほどの遅い対応。

と、ここまで書いてたことはpiyologにも綺麗にまとまっていることに気づいた。

サポートケース管理システムへの不正アクセスから派生して行われたサイバー攻撃についてまとめてみた - piyolog

ぶっちゃけ僕はセキュリティインシデントが起きること自体はある程度仕方ないと思う。もちろん起きてはいけないことなのだが、事故は必ず起きるものと考えておいた方がいい。事故を起こすサービスなんて絶対使えないとなったら、ドコモもソフトバンクもauも使えないじゃないかとなる。多くの企業がインシデントを経験するのだ。
重要なのはいざというときの対応だ。何があったのかを速やかに調査して公開して改善する。それができれば信頼度の毀損はないかもしれない。（株価は下がるだろうが）
有事に適切な対応をすることはしっかりした組織でなければ起こりえないので実際には難しいことかもしれないが、一連の事件でOktaの信頼は大きく損なわれたと感じる。