元記事 https://circleci.com/blog/jan-4-2023-incident-report/
ここにまとめたのは自身が知りたかった&理解した内容であって、有ってるかどうかは保証できない。 正確な情報は元記事を自分で読むこと。
-
特定顧客のGitHub OAuthの不正利用発覚 2022-12-29
-
全顧客のGitHub Auth トークンのローテーション作業に着手 2022-12-31
2023-01-07 07:30 UTC に完了
-
社内調査で、不正な第三者による侵入の範囲と経路を特定 2023-01-04
2022-12-26 にエンジニアのラップトップPCにマルウェア
アンチウィルスソフトは検出せず
セッション・クッキーを盗んで、なりすませる状態
本番システムの一部にアクセス可能本番用アクセストークンを生成できる権限
顧客の環境変数、トークン、キーを格納するストレージにアクセス可能
2022-12-19 に予備調査的な不正アクセス
2022-12-22 にデータ流出
以降の不正なアクセスはログになし
流出したデータはすべて暗号化されていた
しかし動作中のプロセスから抽出できた可能性がある -
当該従業員のアクセスを遮断
-
念のため、ほぼすべての従業員の本番環境へのアクセスを遮断
-
攻撃されえた全ホストをローテート
-
全プロジェクトの API トークンを無効化 2022-01-02
-
2023-01-05 00:00 UTC以前に作られた、全パーソナルAPIトークンを無効化 2023-01-06
-
Bitbucketのトークンのローテート完了 10:15 UTC
-
影響を受けうるAWSトークンについて顧客に連絡開始 2023-01-07 18:30 UTC
2023-01-12 00:00 UTC に完了
CircleCIは以下の対策により、安全になったと考えている。
-
今回使われたマルウェアを検出できるようにした
-
本番環境へのアクセスできる従業員を絞った
-
本番へアクセスするための認証ステップを増やした
仮に2FA SSOセッションが盗まれてもアクセスは防げる (どうやるんや?)
-
今回のパターンを元にした監視とアラートを追加した
未
未
未
未
今回の件は、従業員ではなく、システム・組織としての責任である。 CircleCIは、どんな攻撃方法であっても機能する安全対策、を構築することが責務だと考えている。
未
謝辞