SolarWinds 社関連の報道に対する続報

Elizaveta Semakova

SolarWinds 社に対するハッキングに関する続報をお客様にお伝えしたいと思います。まず始めにお伝えしたいことは、 昨日掲載した声明と同じです。弊社はこのハッキングに関与してるという認識は一切ございません。また、現在弊社に対して捜査が行われているとこと、および、このハッキングの原因となり得る TeamCity の脆弱性の存在についても認識しておりません。

TeamCity の説明とニュースに取り上げられている理由について
TeamCity は継続的インテグレーションおよびデリバリーを行う弊社のツールです。 ソフトウェアのビルドとテストのほか、必要に応じてデプロイを行う機能があります。 現在は概してセルフホスト型の単体アプリケーションとしてのみ使用できます。つまり、セキュリティやアクセスの設定を含め、エンドユーザーがインストール、設定、システムの保守に責任を負います。

入手可能な公開情報(SolarWinds 社からも政府機関からもこのハッキングに関する詳細について弊社に通知がないため、弊社が現時点で把握している情報はこれだけです)によると、SolarWinds 社に対する攻撃はビルドプロセスを狙ったもののようです(メディアはサプライチェーン攻撃と呼んでいます)。 SolarWinds 社はビルドプロセスにおいて、数あるツールの中でも特に TeamCity を使用しています。 しかしながら、現時点では SolarWinds 社の担当者からの声明でも裏付けられているように、TeamCity が本件に関与しているという証拠はありません。

“SolarWinds 社は他の多くの企業と同じように、TeamCity と呼ばれる JetBrains 社の製品を使用してソフトウェア開発をしています。 当社は現在も進行中である調査の中で、社内および社外の全ツールを検査しています。” と SolarWinds 社の担当者は述べています。また、 “当社は本セキュリティインシデントが TeamCity 製品のセキュリティ侵害に関係しているという証拠を認識していません。” とも述べています。

上記は、ウォール・ストリート・ジャーナルからの引用です。

TeamCity が SolarWinds 社のビルドプロセスの中で使用されているツールの一つであるという事実が、ニュースに取り上げられる理由になったと弊社は考えています。

JetBrains および TeamCity のセキュリティ侵害状況について
弊社はこれまでに TeamCity や JetBrains がこのような状況を引き起こすようなセキュリティ侵害を受けているという認識はありません。 また、弊社は自社ソフトウェアに対する計画的な定期監査の実施に加え、現在  TeamCity に対するさらなる個別セキュリティ監査も計画しています。 製品内に本件を引き起こす原因となり得る何らかの脆弱性を発見した場合は、弊社のセキュリティポリシーおよびプライバシーポリシーに従い、この問題についてすべてを明らかにし、お客様に通知を行う予定です。

また、弊社自体は SolarWinds Orion や同社の他製品を使用していないことも付け加えておきます。

ご利用中の IDE 製品や他のツールへの影響について
弊社の IDE 製品はスタンドアローン型のツールであり、弊社が自社の TeamCity のインストール環境を使用してこれらの製品をビルドしているという事実を除き、TeamCity とは無関係です。 弊社の自社のサーバーやスタンドアローン型ツールが改ざんされたことを示す事実はございません。また、弊社は、TeamCity の場合と同様に自社のツールやシステムに対して定期的なセキュリティ監査を実施しています。

JetBrains のツールを使用に関する安全性について
FBI による捜査に言及している記事や SolarWinds 社自身の声明からの引用を含め、これまでに発表された記事では TeamCity にビルドプロセスへの不正アクセスを可能とする脆弱性やバックドアがあるという証拠は示されていません。

よって、弊社は自社のツールがセキュリティ侵害を受けている可能性があるという情報や証拠が存在するという認識はございません。従いまして、弊社のツールを使用し続けることに何らかのリスクがあるとは考えていません。

SolarWinds 社の調査が早急に終了し、弊社のツールおよび弊社に対する疑いが晴れることを願っています。 また、繰り返しになりますが、弊社は政府機関やセキュリティ専門家に全面的に協力いたします。

弊社は 20 年以上にわたり、お客様に対して透明、正直、誠実であることを柱にしてきました。弊社の名誉を傷つけ、弊社のお客様に疑念を植え付けるような根拠のない主張を目にすることほど辛いことはありません。

皆様のご支援に深く感謝するとともに、何か進展がありましたら随時お知らせいたします。

以上、ご理解のほどよろしくお願いいたします。

Maxim Shafirov
最高経営責任者