Grafana Labs Security Breach – Hackers Access GitHub and Download Codebase
2026/05/17 CyberSecurityNews — Grafana Labs の GitHub 環境に侵入した脅威アクターが、特権トークンを窃取してプライベート・コードベースをダウンロードした上で、恐喝と身代金の要求を試みた。2026年5月16日に Grafana Labs が開示したのは、GitHub 環境へのアクセス権を持つトークンが不正に取得され、攻撃者によるコードベースのダウンロードが可能な状態であったことだ。
Grafana Labs 侵害
同社が展開している多数のカナリア・トークンの 1 つがトリガーされたことで、今回の侵入が検知され、グローバル・セキュリティ・チームに対して速やかに通知が行われた。
根本的な原因は、有効化されたばかりの GitHub Action に存在する、脆弱性 Pwn Request にある。この脆弱性は、pull_request_target イベントをトリガーとするワークフローのミスコンフィグにより、外部コントリビューターに対して、CI 実行時のプロダクション・シークレットへのアクセスが許可してしまうものだ。
今回の攻撃手法は、計画的かつ体系的であった。攻撃者は Grafana のリポジトリをフォークし、curl コマンドを用いて悪意のコードを注入し、プライベート・キーで暗号化されたファイルに環境変数をダンプすることで、特権トークンを抽出した。
その後に、痕跡を隠蔽するためにフォークを削除し、窃取した認証情報を悪用して 4つのプライベート・リポジトリに対して同様の攻撃を実行した。
プライベート・コードベースをダウンロードした攻撃者は、侵入から恐喝へと活動をエスカレートさせ、盗取したコードを公開しない代わりに支払いを要求したが、Grafana Labs は拒否した。
FBI の「身代金を支払ってもデータが返還される保証はなく、不正行為を助長するだけである」というガイダンスに基づき、支払いを行わない判断が適切であると、同社は結論付けた。
調査の結果、顧客データや個人情報へのアクセスは確認されておらず、顧客システムや運用への影響もないとされている。
Grafana のセキュリティチームは迅速に対応し、侵害された認証情報を即時無効化し、脆弱な GitHub Action を削除し、公開リポジトリ全体のワークフローを停止した。
このインシデントは、CI/CD パイプライン・セキュリティおよびソフトウェア・サプライチェーン・リスクに関する議論を再燃させた。
セキュリティ研究者たちが指摘するのは、この攻撃ベクターである pull_request_target ワークフローのミスコンフィグが、オープンソース・エコシステム全体で過小評価されている攻撃面であるという点だ。
この侵害に対する反応は、さまざまである。迅速な透明性を評価する声がある一方で、観測性を専門とする企業が自社インフラのアラートを見逃した点に皮肉を述べる者もいる。
Grafana Labs は、調査完了後にポスト・インシデント・レビューの追加結果を共有する予定であり、開発者およびセキュリティ・コミュニティに対する透明性の維持を強調している。
訳者後書:Grafana Labs の GitHub 開発環境が侵害され、非公開のソースコードが窃取され恐喝に悪用されたニュースの解説です。問題の原因は、GitHub Actions の自動化機能である “pull_request_target” のミスコンフィグにあります。この脆弱性 Pwn Request を突く攻撃者は、外部からの修正要求を通じて、本来は隔離されるべき開発の特権トークンを読み取りました。さらに、このトークンを悪用した攻撃者は、リポジトリをダウンロードし身代金を要求しましたが、同社は支払いを拒否しています。よろしければ、Grafana での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.