当社にて発生したセキュリティ侵害に関する情報

*本ブログは ATLASSIAN blogs を翻訳したものです。本文中の日時などは投稿当時のものですのでご了承ください。
*原文 : 2010 年 4 月 13 日、Mike Cannon-Brookes (共同創業者兼 Co-CEO) “Oh man, what a day! An update on our security breach

背景

日曜日の午後9時頃(アメリカ西海岸時間)、アトラシアンは社内システムの一つにセキュリティ侵害が発生していることを検出しました。その侵害により、2008年7月以前にアトラシアン製品を購入したお客様のパスワードが流出してしまった可能性があります。2008年7月中に、私たちはお客様データベースをアトラシアンのID管理製品である Crowd (クラウド) に移行し、すべての顧客のパスワードは暗号化されました。ただし、古いデータベーステーブルは、オフラインへ移動されておらず、また削除もされておりませんでした。それが今回の侵害により流出した可能性のあるデータベーステーブルだと考えています。

影響

何が影響を受けますか?

もしお客様が2008年7月以前からアトラシアンのアカウントをお持ちの場合、絶対にパスワードを変更して頂く必要があります。また、もしお客様が他のサイトでそのユーザー名/パスワードの組み合わせを使用していた場合、誰かがそのシステムへアクセスしてしまう可能性を防ぐために、それもまた同様に変更することをおすすめいたします。 

何が影響を受けませんか?

  • 2008年7月より後にアトラシアンのアカウントを作成していた場合は、今回の侵害による影響を受けないはずです。私たちは全てのお客様にこの状況をお知らせすることが重要だと考えましたので、Eメールによりお客様へご連絡いたしました。
  • もしお客様がアトラシアン製品をファイアウォールの内側で稼働させている場合、お客様のパスワードは影響を受けません。デフォルトでは、当社の製品は暗号化された形式でユーザーベースのパスワードを格納しています。
  • もしお客様がアトラシアンのSaaSあるいはホスティング製品のユーザーである場合、ユーザーベースと顧客データは影響を受けません。これらは、別のシステムに格納されています。
  • クレジットカードや支払い情報にはアクセスされていません。

私は何をする必要がありますか?

もしお客様のアトラシアンアカウントが2008年7月以前に作成されたものであるか、あるいは二重の確認を行いたい場合 – http://my.atlassian.com にアクセスしてパスワードを変更することをおすすめいたします。

アトラシアンアカウントのパスワード変更手順は以下のとおりです:

  1. http://my.atlassian.com にログインする
  2. “マイプロフィール”(3番目のタブ)をクリックする
  3. “パスワード変更”をクリックする(連絡先情報のセクション内で)
  4. パスワードを新しいものに変更する

今回の反省

まず最初に、私たちはは大きな失敗をしてしまったということを申し上げます。そのため、当然のことながら、私たちは大変申し訳なく思っております。平文で保管されていたパスワードを含む従来の顧客データベースを適切に保管する義務がありました。それは使用されてはおりませんでしたが、削除しておくべきものでした。なぜ削除されていなかったかということに対し、一つのプロジェクトから次のプロジェクトに移ってしまい、失敗を犯してしまったということ以外に、論理的な説明はできません。

第二に、私たちはこのことを可能な限りオープンにしようと考えており、すべてのお客様 – 影響を受けるお客様だけでなく – へ一度にご連絡を行いました。私たちの目的は、この状況を全てのお客様に知って頂くことでしたが、影響のないお客様に警報を送ることにより、もっと多くのことを行ってしまいました。つまり、数十万のアカウントが同時にパスワードを変更しようとしたことにより、私たちのWebサーバーはダウンし – さらに多くのユーザーに心配を与えてしまいました。私たちはこのことにより、さらにご迷惑をおかけしたことについて、謝罪を申し上げます – 私たちのWebサーバーは現在は正常に稼働しています。

今考えれば、私たちは影響を受けるお客様のパスワードをすべてリセットするべきでした。これによりWebサーバーへの予期せぬトランザクション負荷を避けることができ、異なる形でその他のお客様へ問題をご報告することができたはずでした。

まだパスワードを変更していない、影響を受けるユーザーについては、私たちはパスワードのリセットを行いました。

私たちが次に行うこと

  • 調査:この侵害について集中して調査します。調査の結論に達しましたら、次回のご連絡を実施します。繰り返しますが、クレジットカードや財務情報、SaaSユーザー情報はアクセスされておりませんし、流出もしておりません。とても注意深く考えた場合の最悪のケースは、2008年6月以前に購入し、http://my.atlassian.com にログインするためにお客様が使ったパスワードが流出しているというケースです。それが私たちが、お客様にすぐにパスワードを変更して頂くようお願いしている理由です。
  • 情報開示:セキュリティ侵害自体については、私たちは全体像が見えた時点で、様々な攻撃ベクトルと、何が起こったのかを開示いたします。来週中に開示できるように進めています。
  • 意図:現時点で、これがターゲット攻撃であったと確信しております。それが悪意のあるものであったのか、あるいは単なるいたずらであったのかについては確信がありません。いずれにせよ – それは侵害でした。私たちはその侵害の真の目的を突き止めるつもりです。
  • オープン性:実際にはほんの少しの流出の可能性であるにも関わらず、そして状況の難しさにも関わらず – “オープンな企業、デタラメは無し” という私たちの企業価値観を強く信じております。このような時は、価値観が試される時であり、私たちは私たちの能力の限り、価値観に沿って行動することを決めました。このように、我々はここで可能な限りオープンにいたしますし、一人のお客様に対してもデタラメを申し上げるようなことはいたしません。