Oktaカスタマーサポートのハッキングが機密データとアクセス認証情報をどのように露出させたか
アイデンティティ管理のリーダーであるOktaは10月21日に顧客サポートシステムに関与する侵害を公表しました。同社は、顧客とのトラブルシューティングの際に、ウェブブラウザセッションの記録を求めることが多いと明らかにしました。これらは顧客のクッキーやセッショントークンを含むため、悪意のある行為者が盗まれた認証情報を使用してアクセスした機密ファイルです。
顧客サポートチームは、内部および外部のユーザーから非常に機密性の高い情報を定期的に扱うため、Oktaの顧客サポートシステムのハッキングは、組織が機密顧客コンテンツを含むすべての顧客サポートファイルを包括的な追跡、制御、およびセキュリティで管理し保護する必要があることを思い出させる良い機会です。このデータが適切に保護されず、侵害される可能性のある通信チャネルで共有されると、コンプライアンス違反、訴訟、個人への損害を引き起こす可能性があります。
いくつかのリスクには以下が含まれます:
個人顧客データの露出。サポートチケット、ライブチャットのトランスクリプト、メールで送信されたコンテンツには、名前、住所、アカウントの詳細などの個人情報が含まれることがよくあります。このデータは、適切に暗号化されていない場合、アイデンティティ盗難に利用されたり、ダークウェブで販売されたりする可能性があります。適切なセキュリティは、GDPR、CCPA、HIPAAなどの規制に準拠するために重要です。
ソースコードと知的財産の脆弱性。開発およびエンジニアリングチームは、バグやその他の問題を調査するために、サポート担当者と独自のソースコードやその他の知的財産を共有することがよくあります。この非常に価値のあるデータは、ハッカーによる盗難や悪用から細かいアクセス制御で保護されなければなりません。
従業員の認証情報のリスク。ユーザー名、パスワード、APIキー、トークン、その他の認証情報は、トラブルシューティングの目的で顧客サポートチャネルを通じて頻繁に共有されます。多要素認証は、これらの認証情報をハイジャックする攻撃者に対する重要な保護層を提供します。
機密内部データの露出。HR記録、財務文書、顧客リスト、戦略計画などは、サポート担当者によって一般的に扱われます。この機密内部データは、適切に保護されずに侵害されると、訴訟や競争上の損害を引き起こす可能性があります。
システムアクセスが侵害を引き起こす。最近の侵害で示されているように、サポートファイルから抽出されたセッションクッキーやAPIキーなどのアクセス認証情報は、犯罪者がユーザーになりすまして機密システムに侵入するのを容易にします。暗号化は不可欠です。
ハッカーがOktaのサポートポータルにアクセスした方法
サイバーセキュリティ研究者の詳細によれば、ハッカーは以前に公表されていない侵害を通じてOktaの顧客サポートアカウントのログイン認証情報を取得しました。この侵害されたアカウントにアクセスすることで、犯罪者は直接Oktaのオンライン顧客サポートポータルにログインし、Oktaのクライアントがアップロードしたサポートチケットやファイルを閲覧することができました。ここで重要なのは、侵害されたサポート管理システムは、完全に稼働しているOktaのプロダクションサービスとは別であり、顧客サポートシステムの侵害の影響を受けていないことです。
ハッカーがOktaの顧客サポートシステムから機密顧客情報を抽出した主な方法は、サポートケースに添付されたHTTPアーカイブ(HAR)ファイルをダウンロードすることでした。
HARファイルは、技術的な問題を再現しトラブルシューティングするためにサポート担当者と共有されることが多いブラウザセッションの記録です。これらのファイルには、以下を含む非常に機密性の高い情報が含まれる可能性があります:
- 認証クッキー
- APIキーとアクセストークン
- ユーザー名とパスワード
- 名前、住所などの個人識別情報(PII)
- 独自のアプリケーションコード
- 戦略文書と通信
顧客のHARファイルにアクセスすることで、悪意のある行為者はアクティブなセッションクッキー、APIキー、その他の認証情報を取得しました。これにより、実際のユーザーになりすまして、Oktaのクライアントから機密システムやデータにアクセスすることができました。
Oktaの侵害が発見された方法
この侵害は、10月2日にBeyondTrustによって最初に報告されました。この事件は、BeyondTrustが有効な盗まれたセッションクッキーを使用しようとする社内のOkta管理者アカウントへのアクセスを試みる攻撃を検出したときに始まりました。BeyondTrustは、サポートHARファイルからアクティブなユーザーセッションをハイジャックし、Oktaポータルへのバックドア管理アクセスを作成しようとする攻撃者を検出しました。影響を受けた別の顧客であるCloudflareは、ハッカーが従業員のHARファイルから盗まれたAPIキーを使用して、一部のシステムに不正にアクセスしたことを発見しました。
Oktaの顧客サポートシステムの侵害は、サプライチェーンのサイバー攻撃のリスクが高まっていることを浮き彫りにし、なぜサプライチェーン攻撃がサイバー犯罪者にとって主要な手段となっているのかを示しています。IBMの2023年データ侵害コストレポートによると、前年のデータ侵害の12%がソフトウェアサプライチェーンに関与していました。同時に、15%の侵害が第三者のビジネスパートナーに関与しており、ビジネスパートナーの侵害は平均的なデータ侵害よりも約12%高いコストを伴っています。
なぜこれらのデータ侵害がより悪化するのでしょうか?サプライヤーやベンダーは、顧客のネットワーク、データ、アプリケーションに広範なアクセス権を持つことが多いため、ハッカーがターゲット組織に侵入するための魅力的な足がかりとなります。ベンダーやサプライヤーのシステムに侵入すると、攻撃者は信頼されたアクセス経路を利用して、横方向に移動し、静かに下流の顧客を侵害することができます。このアクセスは正当な第三者からのものであるため、セキュリティコントロールをより簡単に回避できます。さらに、ソフトウェアサプライチェーン攻撃では、悪意のある行為者が数百または数千の企業システムやデータにアクセスすることができます。
なぜ現代のサポートプラットフォームは保護されるべきか
この侵害は、2023年における顧客サポートシステムに関与する巨大なリスクを浮き彫りにしています。現代の顧客サポートチームは、内部および外部のユーザーから非常に機密性の高い情報を扱います。リスクの一部には以下が含まれます:
個人顧客データの露出
サポートチケット、ライブチャットのトランスクリプト、メールで送信されたコンテンツには、名前、住所、アカウントの詳細などの個人情報が含まれることがよくあります。このデータは、アイデンティティ盗難に利用されたり、ダークウェブで販売されたりする可能性があります。適切な暗号化は、GDPR、CCPA、HIPAAなどの規制に準拠するために重要です。
ソースコードと知的財産の脆弱性
開発およびエンジニアリングチームは、バグやその他の問題を調査するために、サポート担当者と独自のソースコードやその他の知的財産を共有することがよくあります。この非常に価値のあるデータは、ハッカーによる盗難や悪用から保護されなければなりません。
従業員の認証情報のリスク
ユーザー名、パスワード、APIキー、トークン、その他の認証情報は、トラブルシューティングの目的で顧客サポートチャネルを通じて頻繁に共有されます。攻撃者はこれらを利用して、内部の企業システムやデータにアクセスすることができます。多要素認証は、盗まれた認証情報を軽減するための追加の保護層を提供します。
機密内部データの露出
HR記録、財務文書、顧客リスト、戦略計画などは、サポート担当者によって一般的に扱われます。この機密内部データは、コンプライアンス違反、訴訟、競争上の損害を引き起こす可能性があります。
システム認証情報が扉を開く
このOktaの侵害で示されているように、サポートファイルから抽出されたセッションクッキーやAPIキーなどのアクセス認証情報は、犯罪者がユーザーになりすまして機密システムに侵入するのを容易にします。このデータの暗号化は不可欠です。
顧客サポートに必要なセキュリティ機能
顧客サポートシステムに関与する侵害を防ぐために、組織は以下を組み込んだソリューションが必要です:
完全なコンテンツ暗号化
顧客サポートプラットフォーム内で送信および保存されるすべてのコンテンツは、AES-256のような強力な標準を使用してエンドツーエンドで暗号化されるべきです。これにより、システムが攻撃者によって侵害された場合の重要な安全網が提供されます。
詳細なアクセス制御
コンテンツに対する詳細なアクセス制御により、企業は必要に応じて最小特権アクセスを強制することができます。これにより、従業員の認証情報が盗まれた場合の損害が制限されます。
包括的な活動ログ
顧客サポートプラットフォーム上でのすべてのアクセス、共有、ダウンロード、削除などを記録する詳細なログは、誤用を検出し、コンプライアンス報告要件を満たすために不可欠です。
ネイティブアプリ統合
メール、Salesforce、Slack、Zendeskなどの一般的に使用されるツールとのシームレスな統合により、ユーザープロセスを変更することなく安全なコンテンツワークフローが可能になります。追加のツールはリスクのある回避策を引き起こします。
有効なコンプライアンス認証
SOC 2、ISO 27001、FedRAMP、HIPAAなどの最新の監査は、機密データを扱うための厳格なセキュリティ基準をプラットフォームが満たしていることを示しています。
Kiteworksが機密顧客サポートコンテンツを保護する方法
Kiteworksは、現代の顧客サポートチーム向けに設計された厳格なセキュリティ制御を提供するために設計された専用のコンテンツ通信プラットフォームを提供しています。以下はその主要な機能の一部です:
最高クラスの暗号化がデータを保護
Kiteworksは、業界をリードするAES-256ビット暗号化を活用して、顧客サポートの通信を転送中および保存中に保護します。この軍用グレードの暗号化により、侵害されたコンテンツは不正な第三者にとって無用で読み取れないものになります。Kiteworksは、暗号化キーを非常に安全な独自の方法で管理します。すべての暗号化操作は、最適なセキュリティのために完全に顧客自身のインフラストラクチャ上で処理されます。
詳細なアクセスポリシーがデータの露出を制限
Kiteworksは、管理者がユーザーロール、コンテンツ属性、その他の変数に基づいてコンテキストアクセスポリシーを設定できるようにします。これにより、最小特権の原則に基づいて機密データへのアクセスを正確に制限することができます。たとえば、ポリシーは、サポート担当者が特定の種類の機密顧客情報や内部文書を管轄区域、クリアランスレベル、ケースタイプ、その他の要因に基づいて閲覧できるかどうかを制限することができます。これにより、認証情報が侵害された場合の損害が最小限に抑えられます。
包括的な活動監査ログが脅威を検出
Kiteworksは、プラットフォーム内のすべてのユーザー、コンテンツ、およびシステム活動を自動的にログに記録し、完全な監査ログを作成します。これにより、組織は機密通信へのアクセスを監視し、コンプライアンス報告要件を満たすことができます。監査ログは、コンテンツのアップロード、ダウンロード、削除、ポリシー変更、ログイン、権限変更などの機密操作を記録します。アラートは自動的に疑わしい活動を調査のためにフラグします。
既存システムとの緊密な統合
Kiteworksプラットフォームは、Salesforce Service Cloudやその他のエンタープライズアプリケーションと深く統合されています。これにより、顧客サポートのワークフローが中断されることなくシームレスに行われます。サポート担当者は、データを露出する可能性のあるリスクのある手動の回避策を取ることなく、慣れ親しんだツール内で直接通信を効率的に共有できます。
セキュリティコンプライアンスのための厳格な監査
Kiteworksは、FedRAMP、IRAP、SOC 2 Type II、HIPAA、ISO 27001、PCI DSSなどの厳格な第三者監査と認証を維持しており、そのセキュリティ姿勢を検証しています。顧客は、Kiteworksが機密データを保護するための広範な制御を満たしていることを確認できます。コンプライアンスレポートは、関連するセキュリティポリシー、手順、および制御に関する透明性を提供します。顧客は、これらのレポートを監査人、規制当局、およびパートナーに提供して、厳格なデータ保護を証明することができます。
機密データ通信のための現代の顧客サポート
Oktaの侵害は、顧客サポートプラットフォームが非常に機密性の高い顧客データ、ソースコード、認証情報、その他の機密情報を扱う際に生じる巨大なリスクを思い起こさせます。Kiteworksのような現代のソリューションは、軍用グレードの暗号化、詳細なアクセス制御、活動監視、セキュリティ認証、およびプライベートなオンプレミスインフラストラクチャを提供することで、これらのチャネルを不正アクセスから保護するために設計されています。これらの技術を活用することで、企業は顧客サポートチームに、膨大な機密データを露出することなく優れたサービスを提供するために必要なツールを安全に装備することができます。
Kiteworksプラットフォームの実際の動作を確認するには、カスタムデモをスケジュールしてください。