アイデンティティ管理サービスのリーディングカンパニーであるOktaは、IT部門の従業員を狙ったソーシャルエンジニアリング攻撃について警告しています。このソーシャルエンジニアリング攻撃は、IT部門の従業員の心理的な隙を突き、企業や組織のネットワークに侵入して管理者権限を取得することを目的としています。
サイバー攻撃者は、IT部門の従業員に接触する前に、標的組織に関する情報をすでに入手していました。
Oktaは以下のように伝えています。「サイバー攻撃者は、標的組織のITサービスデスクに電話をする前に、a) 特権ユーザーアカウントのパスワードを知っていたか、またはb) Active Directory(AD)経由の委任認証フローを操作することが可能であった可能性があり、標的アカウントのすべてのMFA要素のリセットを要求していました。Oktaの顧客の場合、サイバー攻撃者はスーパー管理者の特権が付与されていたユーザーを標的にしていました。」
攻撃者はまた、偽のアプリを使用して別のアイデンティティ管理プロバイダーになりすましています。
Oktaは次のように述べています。「サイバー攻撃者は、侵害された組織のアプリケーションに他のユーザーに代わってアクセスする「なりすましアプリ」 として機能するように、2つ目のアイデンティティプロバイダー(IdP)を設定していることが観察されました。この2つ目のアイデンティティプロバイダーも同じサイバー攻撃者によって制御され、ターゲットとのインバウンドフェデレーション関係(「Org2Org」と呼ばれることもある)でソースIdPとして動作しています。サイバー攻撃者は、このソースIdPから侵害されたターゲットIdPの実際のユーザーと一致するように、2つ目のソースIdPのターゲットユーザーのユーザー名パラメータを操作しています。これにより、ターゲットユーザーとしてターゲットIdPのアプリケーションにシングルサインオン(SSO)する機能が提供されています。」
新しいスタイルの先進的なセキュリティアウェアネス(意識向上)トレーニング(KnowBe4では“New School”と呼ぶ)は、従業員がソーシャルエンジニアリングのさまざまな手口を学習し、セキュリティ意識として認識できるように最新のトレーニングコンテンツと関連のフィッシング演習訓練を用意することで、ますます高度化する標的型攻撃を未然に防ぐことに立ち向かっています。
この攻撃については、Oktaは日本語ブログで報告しています。詳細については、このOktaの日本語ブログを参照してください。
原典:Stu Sjouwerman著 2023年9月7日発信https://blog.knowbe4.com/social-engineering-okta-credentials