レッドハットの「GitLab」リポジトリーに不正アクセス--セキュリティ調査を継続中

配信

ZDNET Japan
レッドハットの「GitLab」リポジトリーに不正アクセス--セキュリティ調査を継続中

提供:John Keeble/Getty Images

 企業のライフサイクルにおいて、セキュリティ侵害は避けられないものだ。今回、その標的となったのは、「Linux」およびクラウド分野の大手企業であるRed Hatである。  Crimson Collective(別名:Eye Of Providence)と名乗る新たなサイバー犯罪グループが、Red Hatのプライベートな「GitLab」リポジトリーに侵入し、顧客情報と機密のソースコードを盗み出したとする犯行声明を出した。  同グループは米国時間10月2日遅く、「Telegram」上で犯行を主張し、Red Hatの内部プロジェクトのディレクトリー一覧とされるスクリーンショットを投稿した。これに対し、Red Hatはこの侵害の事実を認めている。 Red Hatの声明は次の通り。  当社は最近、特定のコンサルティング業務における社内のコラボレーションに使用されていたGitLabインスタンスへの不正アクセスを検知した。これを受け、当社は直ちに徹底的な調査を開始し、不正なアクセスを排除してインスタンスを隔離し、適切な当局に連絡した。現在も進行中の調査により、不正な第三者がこのインスタンスから一部のデータにアクセスし、コピーしたことが判明している。  ハッカーたちは、2万8000の内部開発リポジトリーから約570GBのデータを盗み出したと主張しており、このデータには約800の顧客エンゲージメントレポート(CER)が含まれているとされる。  CERとは、同社のコンサルティングサービスによる詳細な文書であり、アーキテクチャー図、ネットワーク構成、認証トークンなど、クライアント環境に関する機密情報を含んでいる。このグループは、このデータがあれば顧客インフラに侵入できると主張している。  この主張に対するRed Hatの回答は以下の通りだ。「侵害されたGitLabインスタンスには、例えばRed Hatのプロジェクト仕様、コードスニペットの例、コンサルティングサービスに関する内部コミュニケーションなど、コンサルティングエンゲージメントのデータが保管されていた。このGitLabインスタンスには、通常、機密性の高い個人情報は含まれていない。当社の分析は継続中だが、現時点では影響を受けたデータの中に機密性の高い個人情報は特定されていない」  このグループは、AT&T、Bank of America、Fidelityなどの企業や、米海軍の海上戦闘センター、米連邦航空局、米下院などの政府機関に関するCERを入手したと述べている。  これに対し、Red Hatは、このハッキングがRed Hat Consultingの顧客のみに影響を及ぼしたことをあらためて強調した。「現時点では、このセキュリティ問題が当社の他のRed Hatサービスや製品、例えば当社のソフトウェアサプライチェーンや公式チャネルからのRed Hatソフトウェアのダウンロードに影響を与えていると考える理由は見当たらない」  Red Hat Consultingの顧客でない場合、Red Hatは他の全ての顧客およびユーザーに対し、「現時点では、このインシデントによる影響を受けた証拠は確認されていない」と明言している。同社は「オンライン上で広まっている主張を把握している」とした上で、「セキュリティチームがこの件について積極的に調査を進めている」と説明している。  GitLabソフトウェアが関与しているものの、このセキュリティ侵害は完全にRed Hat側の問題であり、GitLabの問題ではない。GitLabは声明で、「GitLabが管理するシステムやインフラへの侵害は発生していない。GitLabは引き続き安全であり、影響を受けていない。このインシデントは、Red Hatが自己管理している『GitLab Community Edition』、すなわち当社の無料のオープンコア提供製品のインスタンスに関するものである」と述べている。  Crimson Collectiveは、Red HatがセルフホストしているGitLabインスタンスから、未公開のプロジェクトやセキュリティ関連ツールを含む大量のデータを吸い出したと主張している。しかし、情報漏えいサイトにソースコードのサンプルは出現していないため、これらの主張は未検証のままである。  さらに、Red Hatのソフトウェアとサービスはオープンソースコードに基づいているため、そのコードにアクセスすることが何らかの危険をもたらすとは考えにくい状況だ。例えば、AppleやMicrosoftなどのプロプライエタリーなコードであれば話は別だが、「Red Hat Enterprise Linux(RHEL)」 のコードは「Fedora」や「CentOS Stream」で既に公開されている。つまり、RHELの構成内容とその作成方法は既に正確に把握されているということだ。  それでもなお、今回の顧客データの侵害は同社の評判を傷つける。特にこの2年間で、オープンソースのサプライチェーンセキュリティ問題について懸念を抱く企業が増えているため、その影響は無視できない。  10月3日の本稿執筆時点で、Red HatはCrimson Collectiveの主張がどれほど深刻かについて、これ以上の最新情報を提供していない。結局のところ、サイバー犯罪グループは注目を集めるために侵害を誇張したり、捏造(ねつぞう)したりすることが多い。侵害があったことに疑いの余地はないが、それがどれほど深刻であるかはいまだ未解決の問題である。 この記事は海外Ziff Davis発の記事を4Xが日本向けに編集したものです。

記事に関する報告問題を報告
  • 1
  • 2
  • 1

関連記事

最終更新:
ZDNET Japan ©ASAHI INTERACTIVE, Inc. All rights reserved. No reproduction or republication without written permission.