circleci

ソフトウェア開発サービスの CircleCI は、セキュリティ インシデントを公開し、ユーザーにシークレットをローテーションするよう促しています。

CI/CD プラットフォームは、ビルドの「速度と信頼性」をサービスに依存する 100 万人以上のエンジニアからなるユーザー ベースを誇っています。

CircleCI はインシデントについてユーザーに警告します

CircleCI ユーザーが受け取った電子メール通知によると、CircleCI は現在セキュリティ インシデントを調査していると述べています。

同社が調査を終了するまで、ユーザーは注意を払って CircleCI に保存されているすべてのシークレットをローテーションすることをお勧めします。

CircleCI セキュリティ インシデントのメール通知
CircleCI は、セキュリティ インシデントについてユーザーにメールを送信しています( dotty- )

CircleCI の CTO である Rob Zuber 氏は、水曜日に公開された簡潔なアドバイザリの中で、「このインシデントに関する最新情報と、当社の対応が利用可能になり次第、お知らせします」と述べています。

「現時点では、当社のシステムに無許可のアクターが活動していないと確信しています。しかし、細心の注意を払って、すべての顧客がデータを保護するために特定の予防措置を講じるようにしたいと考えています。」

お客様がローテーションすることをお勧めするシークレットには、プロジェクト環境変数またはコンテキストに保存されているものが含まれます。

API トークンを使用するプロジェクトの場合、CircleCI はこれらのトークンを無効にしており、ユーザーはトークンを交換する必要があります

さらに、DevOps 社は、2022 年 12 月 21 日から 2023 年 1 月 4 日の間に発生した不正アクセスについて、内部ログを監査するようユーザーにアドバイスしています。

侵害は CircleCI の「信頼性」アップデートに続く

皮肉なことに、この文言は、CircleCI が 12 月 21 日に侵害されたことを示唆しています。同日、サービス向上へのコミットメントを強化する「 信頼性アップデート」を公開しました。

この信頼性の更新自体は、CircleCI がその信頼性がユーザーの期待と同等ではないことを認めた 2022 年 4 月に始まる一連の同様の更新に続いていました。

「CircleCI の使命は、変更を管理してソフトウェア チームがより迅速にイノベーションを行えるようにすることです。しかし、最近になって、当社の信頼性がお客様の期待に応えられていないことがわかりました」と Zuber 氏は当時書いています。

2022 年 9 月、CircleCI はパイプライン ページが「1 日のかなりの部分」で利用できなくなったことを受けて、別の更新を発行し、多くのチームがワークロードの管理に影響を与えました。

これらの更新は、過去数年間にわたる CircleCI の一連のセキュリティ上の問題に続くものです。

2019 年半ば、 CircleCI はサードパーティ ベンダーの侵害に起因するデータ侵害に見舞われました。これにより、ユーザーの GitHub および Bitbucket アカウントに関連付けられたユーザー名と電子メール アドレス、IP アドレス、組織名、リポジトリ URL などを含むユーザー データが侵害されました。

2022 年には、ユーザーに送信された偽の CircleCI メール通知を介して GitHub アカウントを盗む攻撃者が発見されました。

CircleCI 2022 フィッシング
2022 年に確認された CircleCI フィッシング メール(CircleCI)

これらのフィッシングの試みは、必ずしも新たな侵害が原因であるとは限らず、当時、CircleCI は安全性が保たれていることを保証していました。しかし、脅威アクターは、以前の侵害 (2019 年の侵害など) で取得した電子メール アドレスを使用して、影響を受けた企業の顧客をフィッシング詐欺で標的にすることがよくあります。

水曜日のセキュリティ インシデントの開示に関して、CircleCI はご迷惑をおかけしましたことをお詫び申し上げます。同社は、調査の結論が出次第、近日中に詳細を共有する予定です。