Oktaへの不正アクセス事例からサプライチェーン攻撃を考える、狙われる社員の個人用クラウドサービス

「EDR」「IDaaS」「SASE」を連携させて、ゼロトラストネットワークを実現する

　依然として脅威が増しているサプライチェーン攻撃、その対策に多くの企業が迫られている。「サプライチェーン攻撃は組織間における“業務上のつながり”を悪用し、次なる攻撃の踏み台とするサイバー攻撃手法です」と説明するのは、マクニカ ネットワークス カンパニーの井上将太朗氏。サプライチェーン攻撃は大きく3つに分類でき、その1つが“ソフトウェアサプライチェーン攻撃”だ。これはソフトウェア開発事業者に侵入し、開発しているソフトウェアに悪質なコードを埋め込むというもの。そのソフトウェアが市場に展開された後でコードが実行され、顧客情報を抜き取るという仕組みだ。

　2つ目が“サービスサプライチェーン攻撃”、マネージドサービスプロバイダーに侵入して足掛かりを作り、サービスを利用している顧客企業に侵入する。井上氏は「サービス事業者は顧客のネットワーク管理や運用を任されることがあり、サービス事業者に侵入さえすれば、その後の侵入も容易になります」と指摘した。また、3つ目の“ビジネスサプライチェーン攻撃”は、ターゲット企業の子会社や取引先、海外拠点などに侵入し、その関係者を装いマルウェアを添付したメールなどを送付するものだ。これは既に攻撃者の常套手段になっている。

　このようにサプライチェーン攻撃は3つに大別できる一方、共通するのは「日頃業務で付き合いのある組織や人を通じて、攻撃者が侵入してくることです。何よりも侵入に気づき辛いことが厄介です」と井上氏。この問題に対処するために内部を含め、あらゆる通信を信頼しない“ゼロトラストネットワーク”をマクニカでは提案している。

　従来のネットワーク構成は、いわゆる境界防御型だ。ファイアウォールを設けることで内部は安全、社内ネットワークよりも外側は危険とする考え方で運用されてきた。一方、ゼロトラストではすべての通信を信頼せず、必ず確認するような考え方だ。どこから通信が来ているかの情報だけを頼りに安全性を判断してきた境界防御とは異なり、通信に含まれるユーザー情報や接続先のアプリケーションなど、あらゆる情報を元にして安全性を判断する。

　「マクニカでは『ユーザー』『デバイス』『データ』という3つの観点に基づき、EDRはCrowdStrike、IDaaSはOkta、SASEはNetskopeの3製品によるゼロトラストを提案しています」と井上氏。それぞれを単独で動かすだけでなく、連携させることでより強固なゼロトラストネットワークを構築できると説明する。

　Netskope（SASE）とOkta（IDaaS）の連携では、Oktaの持つユーザーやグループ情報をNetskopeに同期することで一貫性のあるポリシーの作成が可能だ。機密情報を扱うことが多い部署のポリシーを作成する際には、グループ情報の同期は欠かせない。また、特定のユーザーが機密性の高いデータにアクセスする際にNetskopeで検知し、Okta側で多要素認証を追加で科すなど、なりすましを防止する効果もある。

　もし、Netskopeでユーザーの内部不正が疑われる“怪しい振る舞い”を検知した場合は、Oktaで該当ユーザーの分類を確認して、認証の強化や権限の制限などを実施可能だ。たとえば、一般グループに所属しているユーザーがクラウド上に機密情報をアップロードしようとした場合、Netskopeで検知後にOktaと連携し、ハイリスクグループに振り分けることで認証を隔離できる。

　CrowdStrike（EDR）との連携では、CrowdStrikeで端末の健康状態を確認し、状態に応じたアクセスコントロールをNetskopeで設定可能だ。たとえば、EDRが導入されていないデバイスをNetskopeで検知したら閲覧のみを許可し、それ以外は許可しないよう制限する。また、社内の重要情報に対する通信をブロックできる。加えて、NetskopeとCrowdStrikeが持つ脅威情報を互いに共有することでマルウェアの検知範囲も広げられるため、既知のマルウェアがデバイスにたどり着く前に対処できるという。

　とはいえ、単純に3製品を導入して連携させるだけで安全が確保できるわけではない。「それぞれの製品を正しく監視・運用することが重要です。しかし、IT管理部門で各製品のアラートを正しく分析して対処しようとすると、大きな負荷がかかるでしょう」と井上氏。万全な監視体制を敷くことは不可能に近いとも指摘する。

　そこでマクニカでは専門のアナリストが分析し、対処する必要があると判断された場合に顧客に通知をするSOCサービスも提供しており、24時間365日にわたる監視が行われるという。なお、ゼロトラストネットワークへ移行中のハイブリッド環境であっても対応できるとのことだ。

CASBでサプライチェーン攻撃を防御、Netskopeによる提案

　Netskopeは脅威分析を行うラボを有しており、脅威分析の結果から『2024年の注目すべき5つの脅威』を発表^[1]している。そこには、“サプライチェーンを悪用した攻撃”が重要項目として含まれており、「今後も『サプライチェーンを悪用した攻撃には注意すべき』とされています」と警鐘を鳴らすのは、Netskope Japanの加田友広氏だ。

　実際にNetskopeを用いてサプライチェーン攻撃に対処するとき、個人のクラウドサービスの利用を制限する方法があるという。これはNetskopeに包含されるCASBによるアクセス制御機能を利用するものだ。同手法の有効性について、Oktaが開示した不正アクセスによるインシデントを例に挙げて説明した。

　2023年10月、Oktaのサポートサイトへの不正ログインが発生した。この不正アクセスを足がかりとして同社のユーザ企業への不正アクセスを試みた、サプライチェーンの悪用だ。注目すべきは、Oktaの従業員が利用している個人用クラウドサービスが原因となった可能性があることだと加田氏は指摘する。攻撃者はOktaのサポートサイトへ不正ログインし、ユーザ企業がサポート目的でアップロードしたHARファイルの中からセッショントークンを窃取して不正利用した。

　この不正ログインについて、「社用PCのChromeブラウザで個人のGoogleプロフィルにサインインしていたことで、Oktaのサポートサイトのクレデンシャル情報も個人プロファイルに保存されていたようです」と加田氏。個人用のGoogleのIDとパスワードがフィッシングなどで盗まれた、もしくは何らかの不正な方法でデバイスが侵害され、個人アカウントに不正にアクセスされたことで保存されていたOktaのサポートサイトのクレデンシャル情報にもアクセスできたようだと説明する。

　このようなインシデントを防ぐためには、個人用のクラウドサービスに会社で契約しているアプリケーションのクレデンシャル情報を保存させないことが欠かせない。つまり、社用PCから個人利用しているクラウドサービスにログインさせないことが重要だ。そして、もう1つの防止策として、個人利用のクラウドサービスを利用している個人端末からは、会社で契約しているアプリケーションにログインさせないことも大切だという。

　これらの防止策はNetskopeによって実現可能だという。前者であれば、CASBによるクラウドアクセス制御機能でインスタンスを識別することで対策できる。たとえば、会社契約のGoogleは許可し、個人向けはブロックするといったポリシーを設定することで、Netskopeでアクセスを識別・制御が可能だ。URLやカテゴリー単位、サービス名、サービスインスタンス、サービス上での操作単位（ログイン、ダウンロード、アップロードや共有など）でもアクセスコントロールできる。

　また、個人用端末のアクセスを制御したいときには、（利用サービスがソースIPアドレス制限機能を提供している場合）SASE基盤のNetskopeを経由したソースIPアドレスからしかアクセスできないように制御することが可能だ。利用サービスがソースIPアドレス制限機能を提供していないケースでは、IDaaSからのログインのみを許可させる前提とし、IDaaS側でNetskopeのIPアドレスからのアクセスに限定することで制御できる。

　「場所によらない働き方を実現するには、NetskopeのようなSASE基盤での制御が基本となるでしょう」（加田氏）

　なお、ソースIPアドレス制限は、セッションハイジャックのようなケースにも有効だとも言及。万が一、クラウドサービスのログインのセッション情報が盗まれても、ソースIPアドレス制御をすることでログインを制限できるからだ。Oktaには指定されたソースIPアドレスでしかアプリケーションの認証をさせない機能もある。ここにNetskopeを組み合わせることで、仮にIDaaSのセッションを窃取し、IDaaSへアクセスしようとしてもNetskopeからのアクセスではないため、攻撃者をブロックすることも可能だ。Netskopeではお客様テナントに対して有償で固有のIPアドレスを割り振るサービスを提供しているため、アクセス元の場所に依らず、クラウドサービスのソースIPアドレス制限機能を活用できる。

　もちろん、NetskopeのSASE基盤へのアクセス制御も活用できる。Netskopeクライアントを利用したアクセスの場合、基本的に登録されたクライアントからしかアクセスができない。加えて、会社支給のデバイスかどうかを判断する機能もあるので安心だ。

　不正アクセスでは、弱い箇所を狙うことが常套手段だ。個人利用のクラウドサービスは、企業利用しているクラウドサービスと比較してセキュリティ設定が弱いことが多い。

　一度でも個人利用のクラウドサービスへのアクセスを許してしまうとセキュリティが甘くなり、その隙を突かれてしまう。また、個人利用のクラウドストレージサービスへ企業の機密情報をアップロードされるような問題も発生しかねない。「社員の個人利用のクラウドサービスにも注意を払った対策が必要です」と加田氏。今回説明した内容は、Netskopeのコミュニティサイトにも掲載されており、詳細を知りたい方はそちらも参照^[2]して欲しいと言うのだった。