セキュリティ インシデント後、CircleCI は顧客にシークレットをローテーションするよう促す

アメリカ生まれのソフトウェア開発サービスである CircleCI は、セキュリティ上の脅威を発表し、ユーザーにシークレットをローテーションするよう促しています。

CircleCI は、セキュリティの問題後にユーザーに警告します

米国の DevOps プラットフォームである CircleCI は、セキュリティ インシデントが発生した後、ユーザーにシークレットをローテーションするよう警告を発しました。この CI/CD プラットフォームはソフトウェア チームに人気があり、コードを迅速に作成するための継続的な統合と配信を提供します。100 万人を超える人々と数千の企業がこのツールを使用していますが、このセキュリティ インシデントを受けて警告を受けています。

CircleCIのブログ投稿で、最高技術責任者の Rob Zuber はユーザーに「CircleCI に保存されているすべてのシークレットを直ちにローテーションする」ように指示しました。これは「プロジェクト環境変数またはコンテキストに保存される可能性があります」。

Circle はまた、この問題について顧客に警告するために Twitter を利用しました。

Zuber は前述のブログ投稿で、顧客は 2022 年 12 月 21 日から 2023 年 1 月 4 日までの間、「不正アクセスがないか、システムの内部ログを確認する」必要があると書いています。または、ユーザーはシークレットをローテーションした後に内部ログを確認することもできます。さらに、Zuber は、すべての Project API トークンが無効になっているため、ユーザーが置き換える必要があると述べました。

CircleCI はセキュリティ インシデントの詳細を提供していません

CircleCI はユーザーにセキュリティの問題を通知し、データを保護するためのアドバイスを提供しましたが、問題の性質に関する情報はまだ公開されていません。ただし、CircleCI は近い将来、インシデントに関する詳細を提供する予定のようです (この問題に関する Rob Zuber のブログ投稿で述べられているように)。

CircleCI のセキュリティ インシデントはこれが初めてではない

ここで説明したセキュリティ インシデントの詳細はわかりませんが、CircleCI が以前に侵害に対処したことがあるということはわかっています。

2019 年、同社はサードパーティの分析ベンダーの侵入による侵害に見舞われました。攻撃者は、ユーザー名、電子メール アドレス、ブランチ名、リポジトリの URL、および IP アドレスを取得することに成功しました。当時、同社はユーザーにリポジトリとブランチの両方の名前を確認するよう警告していました。

CircleCI ユーザーの場合は、アクションを実行してください

たまたま CircleCI を使用している場合は、このセキュリティ問題の後に会社から提供されたアドバイスを検討する価値があります。シークレットをローテーションして内部ログを確認すると、この潜在的なセキュリティの脅威から身を守るのに役立つ場合があります。