CircleCIに対するセキュリティインシデントへの対応について

Autifyをご利用の全てのお客様へ、更新情報のお知らせです。

弊社ではシステム脆弱性発生時間帯に行われた全てのアクセスについて調査を行い、以下の結果をご報告いたします。

一般的なセキュリティに対する推奨事項として、テスト対象の環境にて本番用の認証情報や機密情報に該当する可能性のあるデータ（実際の製品情報、顧客名やメールアドレスなど）の使用を避け、代わりに匿名化されたデータを使用されることをお勧めします。

また、セキュリティの側面から定期的な認証情報のローテーションをお勧めいたします。これを実施しやすくする上でも、ログインや機密情報を含むステップを扱う場合には、ぜひステップグループをご利用ください。

Autifyをご利用のお客様へ

2023年1月5日（木）12時頃、弊社が利用している外部CI/CDサービス「CircleCI」より、セキュリティインシデントの報告を受け、CircleCIから流出したトークンを利用して第三者が弊社のデータストレージに不正アクセスを行える可能性があったことが判明しました。

弊社では、CircleCIのセキュリティ問題が判明した時点で、すぐに新たなセキュリティ対策を講じ、1月6日(金) 16:33（JST）よりサービスの安全性を担保をしております。

CircleCIで発生したセキュリティインシデントの詳細は、CircleCIの公式サイトをご参照ください。 https://circleci.com/ja/blog/january-4-2023-security-alert/

現時点で、影響を受ける可能性があるデータは以下となります。

全てのお客様には、予防措置としてAutifyのシナリオで使用しているテスト対象サイトのログイン情報変更、およびAutify for Mobileのログイン情報の変更を実施いただけますと幸いです。

事前調査において重大な情報漏洩は確認されておりませんが、弊社ではより確実な情報を提供させていただくために、全てのシステムアクセスを徹底的に分析するため、調査にお時間をいただいております。

現在、システム脆弱性発生時間帯に行われた全てのアクセスについて調査を行っており、データストレージへの不正アクセスの有無について調査結果が出次第、ご報告させていただきます。

個別のご相談に関しては、サポートのチャットまたは [email protected] へご連絡ください。