CircleCIへの不正アクセスで顧客データ盗難が発生、サードパーティー製トークンにも影響

ソフトウェア開発の継続的インテグレーション(CI)＆継続的デリバリー(CD)サービスであるCircleCIが、2022年12月に発生したセキュリティインシデントの調査結果を発表しました。侵入のきっかけは従業員のノートPCがマルウェアに感染したことで、この従業員は本番環境へのアクセストークンを作成する権限を持ったエンジニアだったことから、侵入者が本番環境にアクセスし情報窃取を行うことにつながったとのことです。

CircleCI incident report for January 4, 2023 security incident
https://circleci.com/blog/jan-4-2023-incident-report/

Compromise of employee device, credentials led to CircleCI breach | SC Media
https://www.scmagazine.com/analysis/breach/compromise-of-employee-device-credentials-led-to-circleci-breach

CircleCI's hack caused by malware stealing engineer's 2FA-backed session
https://www.bleepingcomputer.com/news/security/circlecis-hack-caused-by-malware-stealing-engineers-2fa-backed-session/

CircleCI says hackers stole encryption keys and customers’ secrets | TechCrunch
https://techcrunch.com/2023/01/14/circleci-hackers-stole-customer-source-code/

CircleCIが調査結果を発表したセキュリティインシデントは、2023年1月4日に発生が報告されていたもので、調査の結果、侵入は少なくとも2022年12月16日にまでさかのぼることがわかりました。

侵入のきっかけとなったのは、従業員のノートPCのマルウェア感染です。これにより、2要素認証でサポートされたSSOセッションCookieが盗まれたため、攻撃者は2要素認証やパスワード入力を求められることなく、アクセス権を入手。

CircleCIのロブ・ズーバーCTOによると、標的になった従業員は本番環境のアクセストークン生成権限を持っていたとのことで、攻撃者は2022年12月22日からCircleCIのデータベースやストアに不正アクセスを行い、顧客データの一部を盗み出しました。

CircleCIではプロジェクトAPIトークン、パーソナルAPIトークン、GitHub OAuthトークンなど、顧客に関連付けられたすべてのトークンを変更し、さらにAtlassianやAWSと連携して、侵害された可能性のあるBitbucketトークンとAWSトークンを顧客に通知したとのこと。

なお、CircleCIが対応策を講じたあと、サードパーティーシステムへ不正アクセスがあったと報告した顧客の数は5人未満だそうです。