8月31日にCircleCIとサードパーティのアナリティクスベンダーが関係するセキュリティインシデントを発見しました。攻撃者はGitHubおよびBitbucketに紐付くユーザー名とメールアドレス、また、IPアドレスとユーザーエージェント文字列を含む、ベンダーアカウントの一部のユーザーデータに不正にアクセスすることができました。CircleCIのエンジニアリングおよびセキュリティチームは、攻撃を受けたアカウントを即座に取り消し、調査を開始しました。 私達はインシデントの調査を続けており、新しい情報が見つかり次第、このページを更新します。
いつこの問題が発生しましたか?
8月31日 午後2時32分 (UTC)に CircleCIのチームメンバーはサードパーティーのアナリティクスメンバーからの1通のメールを確認し、この特定のベンダーアカウントで異常なアクティビティが発生している疑いを持ちました。従業員はすぐにメールをセキュリティおよびエンジニアリングチームに転送し、その時点で包括的な調査が開始され、状況が収束するように対策が講じられました。セキュリティチームは不正アクセスしたアカウントを午後2時43分(UTC)に無効する対応を開始し、午後3時(UTC)に完了しました。
どのような種類のユーザー情報が影響を受けましたか?
調査に基づいて、GitHubとBitbucketに紐付くユーザー名とメールアドレス、また、ユーザーIPアドレスとユーザーエージェント文字列を含む、一部のユーザー情報が侵害されました。このインシデントで他に攻撃にされされた情報には、組織名、リポジトリのURLと名前、ブランチ名、リポジトリ所有者名が含まれる場合があります。このインシデントによって、CircleCIユーザーのシークレット、ビルドログ、ビルドアーティファクト、ソースコード、またはその他の本番データへのアクセスもしくは流出はありませんでした。また、CircleCIでの認証に使用される認証トークンやパスワードハッシュなどのデータはアクセスされず、クレジットカードや決済情報へもアクセスされませんでした。CircleCIはソーシャルセキュリティ番号やクレジットカード情報は収集していないため、このインシデントが個人情報の盗難につながる可能性は非常に低いです。
このインシデントは私のチームへどう影響しますか?
あなたのチームのビルド、ソースコード、ビルドアーティファクトはこのインシデントによる危険はありません。攻撃者はCircleCIの本番データまたはCircleCIの認証に関連するデータにアクセスできなかっため、引き続き通常どおりCircleCIにアクセスし利用できます。影響を受けたユーザーは機密情報が攻撃にさらされたわけではないため、パスワードや認証トークンの更新をする必要はありません。さらに調査を進め、このFAQページを更新します。
CircleCIはどうやってこの問題を修正しましたか?解決しましたか?
8月31日、ベンダーアカウントの異常なアクティビティを検出すると、エンジニアリングチームは追加されたデータベースがCircleCIリソースではないことを確認し、悪意のあるデータベースと不正アクセスされたユーザーをツールからすぐに削除しました。その後、チームはサードパーティベンダーに連絡を取り、さらに協力して調査を進めました。セキュリティチームは、セキュリティ対策をさらに強化してお客様を保護するための措置を講じており、サードパーティのデジタルフォレンジック企業と連携で調査しさらなる改善努力をすることを検討しています。調査は進行中ですが、現時点では攻撃者によるそれ以上のリスクはないと考えています。
どうすれば影響を受けたかわかりますか?
現時点では、このインシデントは2019年6月30日から2019年8月31日の間にプラットフォームにアクセスしたお客様に影響があると考えています。透明性を確保するために、影響を受けたCircleCIユーザーにこのメールでインシデントを通知しており、確認取れ次第、関連する情報をFAQページにアップデートします。
このような問題が再発しないようにCircleCIは何をしていますか?
サードパーティベンダーとの継続的な協力により、インシデントの原因となった脆弱性を正確に特定します。それまでの間、可能な限りサードパーティアカウントに2FAを遵守させるためのポリシーをレビューし、すべてのインテグレーションについてシングルサインオン(SSO)への移行を継続します。 CircleCIでは、セキュリティが最重要視されています。今年だけで、セキュリティチームの規模は2倍になり、セキュリティケイパビリティを引き続き拡大する予定です。
ただし、これはユーザーデータを適切に保護できなかった言い訳にはなりません。影響を受けた利用者にお詫び申し上げます。今後の改善と内部監査により、このようなインシデントを防止していきます。完全なセキュリティは不可能な目標かもしれませんが、私たちは改善を続けることをお約束します。
データの安全性を確保するために取るべき手順は何ですか?
CircleCIのシステムに関するデータは侵害されなかったため、認証トークン、ビルドアーティファクト、ビルドシークレットなどのデータを保護するために何かをする必要はありません。ただし、データにはレポジトリ名とブランチ名が含まれていたため、ビジネスの機密情報を確認することをチームに推奨しております。攻撃にさらされたデータには、メールアドレスと関連するメタデータも含まれます。これらのメールアドレスとメタデータは、ターゲットを絞ったフィッシングキャンペーンに使用される可能性があります。悪意のあるメールを識別する方法に関するリマインダーを送信することもご検討ください。
質問がある場合にどこに問い合わせをすればいいですか?
support@circleci.com までご連絡ください。日本語でも大丈夫です。
コメント
記事コメントは受け付けていません。