【CVE-2024-9191】Okta Verify for Windowsに深刻な脆弱性、パスワードレス認証機能に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Okta Verifyに深刻なパスワード漏洩の脆弱性
Windows版のOkta Device Accessに影響
passwordless機能利用時のみ影響あり

Okta Verify for Windows 5.0.2-5.3.3のパスワード漏洩脆弱性

Oktaは2024年11月1日、Windows版Okta Verifyに深刻な脆弱性【CVE-2024-9191】を公開した。Okta Device Access機能のOktaDeviceAccessPipeにおいて、デバイスが侵害された場合にDesktop MFAのパスワードレス認証に関連するパスワードが漏洩する可能性があることが判明している。^[1]

この脆弱性はOkta Device Accessのパスワードレス機能を使用しているユーザーにのみ影響を及ぼすことが確認されている。Okta Device Accessでパスワードレスを使用していないユーザーや、Windows以外のプラットフォームでOkta Verifyを使用しているユーザー、FastPassのみを使用しているユーザーには影響がないとされている。

脆弱性の深刻度はCVSSスコア7.1（High）と評価されており、攻撃者は特権アクセスを必要とするものの、ユーザーの操作を必要とせずにパスワードを取得できる可能性がある。Oktaはこの脆弱性を定期的な侵入テストにより発見し、Okta Verify for Windows 5.3.3で修正を実施している。

Okta Verify for Windows脆弱性の詳細

項目	詳細
CVE番号	CVE-2024-9191
影響を受けるバージョン	5.0.2から5.3.3未満
CVSSスコア	7.1（High）
攻撃条件	デバイスの侵害、特権アクセスが必要
影響範囲	Okta Device Accessのパスワードレス機能利用者のみ
修正バージョン	Okta Verify for Windows 5.3.3

Oktaのセキュリティアドバイザリの詳細はこちら

OktaDeviceAccessPipeについて

OktaDeviceAccessPipeとは、Okta Device Access機能の一部として実装されているWindowsシステムのパイプラインインターフェースのことを指す。主な特徴として以下のような点が挙げられる。

Windowsデバイスとの認証連携を実現
パスワードレスログインの実装に使用
Desktop MFA認証の処理を担当

今回の脆弱性では、OktaDeviceAccessPipeのアクセス制御の問題により、侵害されたデバイス上でパスワードが漏洩する可能性が指摘されている。この脆弱性はCWE-276（Incorrect Default Permissions）に分類され、デフォルトのパーミッション設定が不適切であることが原因とされている。

Okta Verify for Windows脆弱性に関する考察

Oktaが定期的な侵入テストを通じて脆弱性を発見し、迅速に対応したことは評価に値する。パスワードレス認証は利便性と安全性を両立する重要な機能であり、今回のような脆弱性の発見と修正は、製品の信頼性向上につながるだろう。

一方で、特権アクセスを持つ攻撃者がデバイスを侵害した場合の影響は甚大である。今後はパイプラインインターフェースのアクセス制御をより厳格化し、デバイス侵害時のリスク軽減策を実装する必要がある。Windows版に特化した脆弱性であることから、クロスプラットフォーム開発における認証機能の実装方法も見直すべきだろう。

パスワードレス認証の需要は今後も高まることが予想されるため、セキュリティと利便性のバランスを保ちながら、より堅牢な認証基盤を構築することが求められる。今回の事例を教訓に、他のプラットフォームやコンポーネントにおいても、同様の脆弱性が存在しないか包括的な検証を行う必要があるだろう。