CloudflareとOkta、サプライチェーン攻撃によるデータ侵害の内幕

Cloudflareは昨年秋、Oktaのサプライチェーン攻撃の犠牲となり、そのデータ侵害は同社のAtlassian Bitbucket、Confluence、およびJiraプラットフォームに影響を及ぼしました。この攻撃は、Cloudflareのグローバルネットワークへの持続的かつ広範囲にわたるアクセスを目的とした国家支援の攻撃者によって実行されたとされています。

CloudflareはCrowdStrikeと協力し、攻撃者が最初の偵察作業の後、内部のwiki（Confluence）とバグデータベース（Jira）にアクセスし、Atlassianサーバーに永続性を確立したことを特定しました。その後、攻撃者はCloudflareのソースコード管理システム（Bitbucket）とAWSインスタンスに成功して侵入しました。しかし、他のシステムへのアクセスはほとんど阻止されました。

Cloudflareは、ネットワークのセグメンテーションとゼロトラスト認証アプローチの実装により、顧客データやシステムへの影響はなかったと報告しています。それにもかかわらず、同社は慎重を期して、全ての本番環境の資格情報のローテーション、テストおよびステージングシステムの物理的セグメンテーション、4,893システムのフォレンジックトリアージの実施、グローバルネットワーク内の全機器の再イメージングと再起動を行いました。

Oktaは、顧客サポートケース管理システムが侵害され、顧客データが露呈したことを発表しました。当初、影響を受けた顧客は1%未満とされていましたが、後に100%に拡大されました。Cloudflareは、Oktaの侵害後にローテーションを行わなかったアクセストークンとサービスアカウント資格情報を使用して侵害が達成されたと述べています。

【ニュース解説】

昨年秋、インターネットセキュリティおよびDDoS保護を提供するCloudflareは、Oktaのサプライチェーン攻撃の影響を受け、その結果、同社のAtlassian Bitbucket、Confluence、およびJiraプラットフォームがデータ侵害の対象となりました。この攻撃は、Cloudflareのグローバルネットワークへの広範囲にわたるアクセスを目的とした国家支援の攻撃者によって実行されたとされています。

Cloudflareはセキュリティ企業CrowdStrikeと協力し、攻撃者が内部のwiki（Confluence）とバグデータベース（Jira）にアクセスし、Atlassianサーバーに永続性を確立したことを明らかにしました。攻撃者はさらに、Cloudflareのソースコード管理システム（Bitbucket）とAWSインスタンスに侵入しましたが、他のシステムへのアクセスはほとんど阻止されました。

この攻撃の背景には、Oktaが顧客サポートケース管理システムが侵害され、顧客データが露呈したことを発表した事件があります。当初、影響を受けた顧客は1%未満とされていましたが、その後100%に拡大されました。Cloudflareは、このOktaの侵害後にローテーションを行わなかったアクセストークンとサービスアカウント資格情報を使用して侵害が達成されたと述べています。

この事件は、サイバーセキュリティの脅威がいかに複雑で、企業のセキュリティ体制がいかに重要であるかを示しています。特に、サプライチェーン攻撃は、一つのセキュリティ侵害が多数の関連企業に影響を及ぼす可能性があるため、企業は自社だけでなく、パートナー企業のセキュリティ状況にも注意を払う必要があります。

Cloudflareの対応は、ネットワークのセグメンテーションとゼロトラスト認証アプローチの実装により、顧客データやシステムへの影響を最小限に抑えることができました。また、全ての本番環境の資格情報のローテーション、テストおよびステージングシステムの物理的セグメンテーション、システムのフォレンジックトリアージの実施など、慎重な対応を行いました。

この事件から学べる教訓は、サイバーセキュリティは常に進化する脅威に対応するために、継続的な監視、迅速な対応、そしてパートナー企業との連携が不可欠であるということです。また、ゼロトラストアプローチのような先進的なセキュリティ対策が、未知の脅威に対しても一定の防御を提供することができることを示しています。

from Cloudflare Falls Victim to Okta Breach, Atlassian Systems Cracked.