

Harjot Gill
August 19, 2025
4 min read
CEOとして、Kudelski Securityの研究者が2025年1月に発見したセキュリティ脆弱性に関する最近の報道について説明し、直ちに行った対応、その後に講じた措置、セキュリティへの継続的な取り組みを共有します。

2025年1月24日、 Kudelski Securityのセキュリティ研究者が、脆弱性開示プログラム(VDP)を通じて脆弱性を開示しました。研究者は、当社のツールの1つであるRuboCopが、安全なサンドボックス環境の外で実行されており、標準のセキュリティプロトコルから逸脱した設定になっていることを特定しました。
当社は直ちに調査を開始し、迅速なインシデント対応プロトコルを通じて、この問題を数時間以内に修正しました。Kudelski Securityが開示した問題を確認し、その他の不正アクセスを示す証拠がないことを確認し、根本原因を特定して修正を実装しました。さらに、以下で説明するように、同様のインシデントを防ぐため、包括的なセキュリティプロトコルを強化しました。
明確に申し上げると、当社はインフラストラクチャ全体で、安全なサンドボックスを標準的に使用しています。 今回は当社の見落としであり、全責任を負います。
開示を受けると、セキュリティチームはインシデント対応プロトコルを開始しました。
当社は不正アクセスの可能性を特定するため、速やかに調査しました。調査では、顧客データへアクセスされたこと、または悪意ある活動が行われたことを示す証拠は確認されませんでした。
セキュリティは単なるチェック項目ではなく、当社の使命の根幹です。当社のサービスは設計どおり安全なサンドボックス内で動作しますが、今回の調査では、RuboCopがこのセキュリティ境界の外へデプロイされていたことが判明しました。当社の標準からのこの逸脱は、迅速に封じ込められ、顧客への影響もありませんでしたが、当社にとって容認できないものです。再発を防ぐため、直ちに対応しました。
変更したこと
今回の脆弱性開示は、当社が脆弱性開示プログラムの構築へ多大な投資を行ってきた理由を示しています。このプログラムには次の特徴があります。
Kudelski Securityの専門的な対応により、この脆弱性が悪意を持って悪用される前に対処できました。これは、セキュリティエコシステムが本来機能すべき姿そのものです。研究者と企業が協力し、すべての人のセキュリティを改善します。
同社の専門的な対応に感謝するとともに、すべてのセキュリティ研究者へ、https://vdp.coderabbit.ai/のVDPプログラムを通じた連携を呼びかけます。独立した研究者でも、実績ある企業の一員でも、当社のセキュリティへの貢献を高く評価します。
ユーザーの皆様に対し、当社は今後も次のことを続けます。
Kudelski Securityの研究に感謝するとともに、データを託してくださるユーザーの皆様への責任を果たしていきます。
ご質問や懸念がある場合は、security@coderabbit.aiまたはhttps://vdp.coderabbit.ai/のVDPポータルまでお問い合わせください。