セキュリティ アドバイザリ - 2016-06-17 - パスワードのリセット

Bitbucket ではこの週に、パスワードの誤使用を防ぐため、多数の Bitbucket Cloud アカウントのパスワードのリセットを行いました。

Bitbucket では、Bitbucket Cloud への自動認証テストと見受けられるアクティビティを検出しました。これを受け、自動認証テストが成功している各アカウントのパスワードのリセットを行いました。 

対応の背景について

過去数週間に、流出したユーザー認証情報によるプロファイル情報の流出や不正アクセスが報告されています。Bitbucket Cloud への攻撃でも、このような経路で流出したデータが使用されています。これはパスワードの推測や総当たり攻撃ではなく、また、攻撃に使用された認証情報は、Bitbucket Cloud または Atlassian から流出したものではありません。パスワードのリセットは予防的な措置として行いました。ご不便をおかけしてしまい申し訳ありませんが、不正なアクティビティを確認したための、各ユーザーのアカウントを保護するための対応だったことをご理解いただけますと幸いです。 

ログを確認したところ、攻撃者は、ユーザーのリポジトリの一覧を取得する API を実行していました。これらの呼び出しはさまざまな範囲の IP アドレスから行われました。Bitbucket Cloud の保護プラットフォームに、このアドレスを追加しました。

なお、この攻撃による Atlassian の他のサービスへの影響はありません。

パスワードが使用できなくなり、6 月 15 日にパスワード リセットのメールを受け取っている場合、Bitbucket Cloud のパスワード リセット機能を利用して新しいパスワードを設定できます。Bitbucket Cloud のパスワードをほかの場所でも使用している場合、それらのサービスでもパスワードを変更して、他のアカウントを保護することをおすすめします。 

通知メールを受け取っておらず、引き続きアカウントにログイン可能な場合、そのアカウントは攻撃の影響を受けていません。ただし、引き続きアカウントの保護を強化することをおすすめします。

推奨事項

パスワードのリセットに加えて、Bitbucket Cloud アカウントの安全性を高めるために次のような追加手順を利用することをおすすめします。

1. 2 段階認証の有効化。これにより、モバイル デバイスまたは特別なハードウェアに表示されるリアルタイム生成コードを使用できるため、パスワードが流出してもアカウントを保護できます。

2. Bitbucket Cloud のプロファイルの [セッション] リンクを確認し、アカウントで使用した IP およびブラウザと、それぞれのタイミングを確認する。

3. 各サービスに固有の強力なパスワードを使用する。複数のサイトでパスワードを使い回すことを避けてください。(LastPass や 1Password などのツールを利用できます)。

4. パスワードを定期的に変更する(ここでも LastPass や 1Password などのツールを利用できます)。