ハードコードされた機密情報も漏洩するリスクがある、要注意

CyberArk Softwareはこのほど、「CircleCI Breach Exposes Risk of Hard-coded Secrets」において、CircleCIの情報漏洩事件により、ハードコードされた機密情報のリスクが露呈したと伝えた。今年始めに発覚したCircleCIへの侵害により、GitHubのプライベートコードリポジトリ、スクリプト、設定ファイル、暗号化ファイル、継続的インテグレーション/継続的デプロイ(CI: Continuous Integration/CD: Continuous Deployment)パイプラインコードなど、セキュリティ対策が容易に行えない場所に機密情報を保持するリスクが浮き彫りになったと述べられている。

CircleCIは100万人以上のユーザーを抱える、CICDプラットフォームのフラグシップカンパニー。最近、CircleCIはセキュリティ侵害を受けたため、保存されているあらゆる機密情報を直ちにローテーションすることや不正なアクセスがないかシステムの内部ログを確認することを顧客に提案している。