使用されたことがない非特権ユーザー

使用されたことがないユーザーとは、Okta で作成されてから特定の日数 (デフォルトでは 90 日、カスタマイズ可能) の間、1 度も Okta ダッシュボードに正常に認証されていないユーザーアカウントのことです。

これらは次のようなさまざまな理由でアタックサーフェスを増やしてしまいます。

• バックドアアカウントが、このアカウントを使用したことのない元従業員やインターンなど、アクセスを必要としなくなった個人へのアクセスを許可してしまう。
• デフォルトパスワードを継続して使用することにより、アカウントが侵害されるリスクが高くなる。たとえば、CISA アラートは次のように報告しています。

  キャンペーンは、被害を受けた組織でもう働いていないもののシステムにアカウントが残っているユーザーの休眠アカウントも標的にしています。

さらに、次のようにも報告しています。

インシデント中のすべてのユーザーに対する強制パスワードリセットの後に、SVR 攻撃者が非アクティブアカウントにログインし、パスワードをリセットする指示に従っている様子も観察されました。これにより、攻撃者はインシデント対応の撤退アクティビティ後もアクセスを再取得することができました。

• ライセンスなどのリソースの浪費。不要なユーザーを定期的に特定、非アクティブ化、または削除することで、組織はリソース割り当てを最適化し、不要なコストを削減できます。

また、関連する IoE [休眠状態のユーザー] も考慮してください。これは、以前はアクティブだったものの、非アクティブになったすべてのユーザーを特定します。 特権ユーザーについては、関連する IOE [使用されたことがない特権ユーザー] も参照してください。

注意: IOE は、既知の制限がある lastLogin プロパティに依存します: Okta は、ユーザーが Okta ダッシュボードにアクセスする時にのみこの値を更新します。そのため、SP が開始する認証、たとえば、ユーザーがアプリケーションに直接アクセスし、認証のために Okta に一時的にリダイレクトされる場合などについては、このプロパティを更新しないでください。このため、IOE は、Okta ダッシュボードにアクセスしたことのないユーザーが正常にアプリケーションに対して認証された場合に誤検出を報告する可能性があります。Okta は 回避策を文書化していますが、現在 Tenable Identity Exposure との互換性はありません。そのため、これらの誤検出を手動で除外する必要があります。

Tenable では、使用されたことがないユーザーを定期的に確認し、無効化または削除することを推奨しています。それらを特定したら、次のアクションを実行してください。

1. 無効化します。
2. 数か月など十分な期間、待機して意図しない影響が生じないことを確認します。
3. この期間を経て、問題が報告されず、かつ組織の情報セキュリティポリシーで許可されている場合は、削除します。

名前: 使用されたことがない非特権ユーザー

コード名: NEVER-USED-NON-PRIVILEGED-USER-OKTA

深刻度: Low

タイプ: Okta Indicator of Exposure