調査終了:2024年1月31日
これは、ステージング環境への不正アクセスに関わる 2023 年 11 月のセキュリティ インシデントについて説明するこのセキュリティ情報の最後の更新です。 New Relic、主要なサイバー専門家、およびフォレンジック会社は、このインシデントについて広範な調査を実施し、情報が入手可能になった時点でこのセキュリティ情報の最新情報を共同で提供しました。 調査は終了し、調査結果に関する追加情報を共有します。
背景
2023 年 11 月、New Relic は、ステージング環境への不正アクセスを認識しました。ステージング環境は、トラブルシューティングを目的として、お客様による当社のサービスの使用と運用の可視性とそれに関連する情報を提供する内部環境 (「ステージング環境」) です。 ステージング環境は、ログ、イベント、トレース、その他の診断ファイルを含む New Relic 独自の可観測性データを維持し、お客様が直面する本番環境で障害が発生した場合の可視性を確保します。 特に、New Relic プラットフォームの使用中にお客様が New Relic に送信したテレメトリ データとアプリケーション データは、ステージング環境には存在しません。
ステージング環境への不正アクセスを知った私たちは、内部アプリケーション、システム、インフラストラクチャの整合性を評価するための措置を直ちに講じました。 当社はインシデント対応計画を発動し、数人のサードパーティのサイバーセキュリティ専門家を雇用して、お客様と当社のビジネスへの影響について徹底的な調査を実施しました。
調査の過程で、不正行為者が単一の New Relic 従業員アカウントに関連して盗んだ認証情報を使用して、ステージング環境にアクセスしたことが判明しました。 この不正アクセスは、セキュリティを強化するために当社の残りの従業員を強化されたユーザー管理モデルに移行する計画が完了する直前に発生しました。
New Relic は、侵害された従業員アカウントへのアクセスを直ちに取り消しました。 また、ステージング環境でパスワード、API キー、ユーザー名やその他の顧客データを含むユーザー識別子を検索することで、顧客への潜在的な影響も分析しました。 また、私たちの調査では、ステージング環境から別の環境の顧客アカウントまたは New Relic の実稼働環境への横方向の移動がないことも確認されました。
環境を強化するための追加手順
インシデントの影響を修復するために、ロギング ルールから機密情報を編集するなどの追加の措置を講じました。また、技術的制御の追加レイヤーの実装、ネットワーク アクセス制御の強化、移行の加速など、システムをさらに強化するための措置を講じました。残りの従業員ユーザーを強化されたユーザー管理モデルに移行します。 これらの追加の手順が実行され、完了しました。
事件の調査結果
ステージング環境インシデントに関する当社の調査は完了し、以下のことが明らかになりました。
- 不正行為者は、単一の New Relic 従業員アカウントを利用して、New Relic のステージング環境にアクセスしました。
- New Relic のステージング環境内での無許可の攻撃者によるすべてのアクティビティは、New Relic と業界をリードするフォレンジック会社によって包括的に特定され、レビューされています。
- 2023 年 10 月 24 日から 11 月 15 日までの間、無許可の攻撃者は特定の検索クエリを実行し、これらのクエリ結果をステージング環境から抽出しました。
- ステージング環境で最後に確認された不正なアクティビティは 2023 年 11 月 16 日でした。 New Relic のステージング環境には、不正な攻撃者による永続的なアクセスの兆候はありません。
- ごく少数のお客様が、不正行為者によって実行された検索クエリの影響を受けました。
- 当社のステージング環境から、別の本番環境にある顧客の New Relic アカウントまたは New Relic の本番インフラストラクチャへの水平移動の兆候はありません。
戦術、技術、手順 (TTP)
私たちの業界とコミュニティ全体を支援するために、私たちはこの不正行為者が利用した戦術、技術、手順 (TTP) を共有し、コミュニティがこの情報を活用して環境に対する潜在的なリスクを特定できるようにしています。 これらの TTP は、New Relic がフォレンジックおよびサイバーセキュリティの専門家と協力して実施した調査を通じて発見され、確認されました。
権限のない攻撃者は、次の戦術、技術、および手順 (TTP) を使用しました。
- 資格情報の詰め込み。
- Protonmail (proton.me) の使用 コミュニケーションのため。
- 公共サービスへのアクセスのための NordVPN を含む VPN サービスの使用。そして
- API を使用したプログラムによるデータ抽出。
根絶と修復の取り組み
私たちは、最良の防御はここ New Relic から始まることを理解しています。 New Relic は、インシデント中に不正行為者のアクセスを根絶するために、次のような多くの措置を講じました。
- 侵害された従業員アカウントへのアクセスを直ちに取り消します。
- 攻撃に関連する侵害の兆候をブロックします。
- 業界をリードするセキュリティ ツールセットを活用して、アクセス制御と認証情報の盗難に対する防御をさらに強化します。企業全体のセキュリティを監視する能力を強化します。そして
- 従業員に追加のサイバー教育と意識を提供します。
お客様の推奨事項
このインシデントによってアカウントが影響を受けたお客様への事前の対応を完了し、お客様が影響を理解し、推奨される修復手順を伝えられるようにしました。 システムに関する具体的な指示を受けていない場合は、何もする必要はありません。 お客様は、セキュリティ情報とセキュリティ ガイドでベスト プラクティスを確認する必要があります。 すでに通知されている内容以外に追加の措置を講じる必要はありません。
この件によりお客様にはご迷惑をおかけしましたことをお詫び申し上げます。 当社の CEO、CTO、CISO は、New Relic のセキュリティの将来の状態について連携しています。 彼らは、当社のセキュリティ体制を広範に改善し、特に将来同じ種類のインシデントが発生するのを防ぐという同じ取り組みを共有しています。 私たちは、今回のインシデントによって直接影響を受けていないお客様も含め、多くのお客様と話し合い、より良い取り組みを行うという取り組みと、セキュリティ体制の大幅な強化について共有してきました。 今後もお客様の信頼を取り戻すべく長期投資を続けてまいります。 平素は格別のご理解とご支援を賜り、誠にありがとうございます。今後とも変わらぬご愛顧を賜りますようお願い申し上げます。