Grafana、GitHubトークン流出によりコードベースのダウンロードと金銭要求の試みが発生

> GrafanaはGitHubトークンの流出によりソースコードのダウンロードとデータ恐喝攻撃を受けたものの、FBIの指針に従って身代金の支払いを拒否しました。

全文翻訳

Grafanaは、「認証されていない第三者」が同社のGitHub環境にアクセスし、ソースコードをダウンロード可能なトークンを入手したと明らかにしました。

GrafanaはX（旧Twitter）への一連の投稿を通じて、「社内調査の結果、このインシデントの期間中に顧客データや個人情報へアクセスされた形跡は確認されず、顧客システムや業務運用への影響を示す証拠も見つからなかった」と述べました。

同社はまた、当該活動を検知すると直ちにフォレンジック分析に着手し、流出元を特定したと述べました。あわせて、侵害された認証情報はその後無効化され、不正アクセス防止のため追加のセキュリティ対策が実施されたと付け加えました。

さらにGrafanaは、攻撃者が同社を恐喝し、盗まれたデータベースの公開を望まないなら対価を支払うよう要求したと明らかにしました。

Grafanaは、米連邦捜査局（FBI）の指針を引用し、身代金を支払わない決定を下しました。FBIは以前から、犯罪者とのランサムウェア交渉が被害企業のデータ回復につながる保証はないとして警告しています。

FBIはWebサイトで、「これは犯罪者がより多くの被害者を標的にすることを助長し、他者がこの種の違法活動に加担する誘因にもなる」と明記しています。

Grafanaは、この事案がいつ発生したのか、また脅威アクターがいつから自社環境にアクセスしていたのかを明らかにしておらず、攻撃の事実を知ったのは「最近」だと述べるにとどめています。今回の侵害は、現時点では既知の脅威アクターやグループに帰属されていません。

しかし、HackmanacとRansomware.liveの報告によると、CoinbaseCartelというサイバー犯罪グループが今回の事件の背後にいると名乗り出ています。

HalcyonとFortinet FortiGuard Labsが共有した詳細によれば、CoinbaseCartelは2025年9月に出現したデータ恐喝グループです。ShinyHunters、Scattered Spider、LAPSUS$のエコシステムから派生した組織とみられています。

従来型のランサムウェアグループとは異なり、データ窃取と恐喝に特化したこのグループは、医療、テクノロジー、運輸、製造、ビジネスサービス分野で170件の被害を生み出しています。

同社は攻撃者がどのソースコードをダウンロードしたのかも明らかにしていませんが、Grafanaはアプリケーションとインフラ向けのフルマネージドなクラウドホスティング監視プラットフォームであるGrafana Cloudなど、さまざまなソリューションを提供しています。The Hacker NewsはGrafanaにコメントを求めており、回答があり次第、内容を更新する予定です。

今回の事態は、米教育技術企業Instructureが、ShinyHunters恐喝グループから全米の数千の学校と大学に属する数テラバイト規模のデータを流出させると脅された後、彼らと和解するという物議を醸す決定を下してから数日後に発生しました。