オープンソースソフトウェアの巨人、Red Hatがサイバー攻撃を受け、内部データが侵害されたことを正式に認めた。発端は「Crimson Collective」と名乗る恐喝グループが、同社の内部リポジトリから約570GBにも及ぶ機密データを窃取したとする犯行声明だ。漏洩したとされる情報には、多数の大企業や政府機関のITインフラに関する詳細な設計図が含まれている可能性があり、現代のソフトウェア開発におけるサプライチェーンリスクの脆弱性を改めて浮き彫りにする事態となっている。

AD

ハッカー集団による突然の犯行声明

事件が公になったのは、Crimson Collectiveを名乗るグループが、Red Hatのプライベートリポジトリ28,000件に不正アクセスし、570GBの圧縮データを窃取したとTelegram上で主張したことから始まる。当初、攻撃対象は「GitHubリポジトリ」とされていたが、その後のRed Hatの発表により、侵害されたのは同社のコンサルティング部門が使用する自己管理型の「GitLabインスタンス」であったことが判明している。

攻撃者グループは、窃取したデータには顧客のIT環境に関する機密情報が豊富に含まれていると主張。その証拠として、盗み出したとするリポジトリの完全なディレクトリリストや、顧客向けに作成されたコンサルティング文書のリストを公開した。このリストには、金融、通信、製造、小売、さらには政府機関に至るまで、世界的に著名な組織の名が並んでおり、業界に大きな衝撃が走った。

Red Hatが公式に認めた侵害の範囲と対応

憶測が飛び交う中、Red Hatは迅速に声明を発表し、セキュリティインシデントの発生を公式に認めた。

「我々は最近、一部の顧客エンゲージメントにおけるRed Hatコンサルティングの内部コラボレーションに使用されるGitLabインスタンスへの不正アクセスを検知しました」

(Red Hat公式ブログより)

同社の発表によれば、侵害はコンサルティング部門が使用する特定のGitLabインスタンスに限定されているという。Red Hatは、不正アクセスを検知後、直ちに攻撃者のアクセスを遮断し、当該インスタンスを隔離。並行して法執行機関への通報も行ったとしている。

注目すべきは、Red Hatがこの侵害による影響範囲を明確に限定しようとしている点だ。同社は「このセキュリティ問題が他のRed Hatサービスや製品に影響を与えるとは考えておらず、我々のソフトウェアサプライチェーンの完全性には高い自信を持っている」と強調。つまり、ユーザーが公式チャネルからダウンロードするRed Hatのソフトウェア自体が改ざんされたといった、最悪の事態には至っていないとの見解を示している。

AD

漏洩データがもたらす「二次被害」の深刻なリスク

Red Hatがソフトウェアサプライチェーンの安全性を強調する一方で、今回のデータ漏洩がもたらす潜在的なリスクは計り知れない。攻撃者が窃取したと主張するデータの中でも、特に危険視されているのが「顧客エンゲージメントレポート(CERs)」と呼ばれる文書群だ。

最も危険な情報「顧客エンゲージメントレポート (CERs)」とは何か

CERsとは、Red Hatのコンサルタントが顧客企業に対して作成する報告書や提案書のことである。BleepingComputerの報道によれば、攻撃者は約800件のCERsを盗み出したと主張している。

これらの文書には、単なる議事録やプロジェクト計画だけでなく、以下のような極めて機密性の高い情報が含まれている可能性がある。

  • インフラのアーキテクチャ図: 顧客のサーバー構成、ネットワークトポロジー、クラウド環境の設計図。
  • 設定ファイル: 実際の運用環境で使用されている詳細な設定情報。
  • 認証情報: データベースの接続文字列、APIトークン、SSHキーなど、システムにアクセスするための「鍵」。
  • ネットワークマップ: 内部ネットワークの詳細な地図。

これらの情報が攻撃者の手に渡ることは、顧客企業のITインフラの「設計図」を丸ごと渡すに等しい。攻撃者はこの設計図を基に、より巧妙で効果的なサイバー攻撃を顧客企業に対して仕掛けることが可能になる。まさに、標的のネットワークに侵入するための詳細な手引書を手に入れたようなものだ。

狙われたDevOpsの心臓部:CI/CDパイプラインとIaC

さらに深刻なのは、CERs以外にも、現代的なソフトウェア開発の中核をなす技術情報が多数含まれているとされている点だ。

攻撃者の主張によれば、漏洩データにはCI/CD(継続的インテグレーション/継続的デプロイメント)のパイプライン設定ファイル、Infrastructure-as-Code (IaC) のテンプレートであるAnsibleプレイブック、コンテナ管理基盤であるOpenShiftの導入ガイドなどが含まれているという。

  • CI/CDパイプライン: ソフトウェアのビルド、テスト、デプロイを自動化する仕組み。この設定が漏洩すると、攻撃者が正規のプロセスを装って悪意のあるコードを本番環境に注入する「サプライチェーン攻撃」の足がかりとなり得る。
  • Infrastructure-as-Code (IaC): サーバーやネットワークなどのインフラをコードで定義・管理する手法。AnsibleプレイブックのようなIaCテンプレートが漏れれば、企業のインフラ構成が完全に露呈し、脆弱な箇所を特定されやすくなる。

これらの情報は、企業のITシステムがどのように構築され、運用されているかを詳細に物語る。攻撃者はこれらを分析することで、システムの弱点を見つけ出し、効率的に攻撃を展開できる。Red Hatの侵害が、その広範な顧客エコシステム全体を危険に晒す「サプライチェーン攻撃の起点」となりかねない、と専門家が警鐘を鳴らすのはこのためだ。

名指しされた数々の大企業と政府機関

攻撃者が公開したとされるファイルリストには、驚くべき数の著名な組織名が含まれていた。

  • 金融: Bank of America, Citi, JPMorgan Chase, HSBC, Fidelity
  • 通信: Verizon, AT&T, T-Mobile, Telefonica
  • 産業・小売: Siemens, Bosch, Walmart, Costco
  • 医療: Kaiser Permanente, Mayo Clinic
  • 政府機関: 米国上院、米国下院、米海軍海上戦闘センター、米連邦航空局

これらの組織が直接ハッキングされたわけではない点には、注意が必要だ。リストはあくまで、Red Hatのコンサルティング業務の過程で作成された文書内で言及されていた顧客やパートナー企業のものである。しかし、自社のインフラ情報が第三者経由で漏洩した可能性は、これらの組織にとって看過できない脅威に他ならない。

AD

事件の背景と今後の展望

今回の事件は、単なる一企業のデータ侵害に留まらない、いくつかの重要な論点を我々に提示している。

なぜコンサルティング部門のサーバーが狙われたのか

攻撃者が企業の最も価値ある情報が集まる場所を的確に狙った構図が見えてくる。ITコンサルティング部門は、業務の性質上、多数の顧客企業のシステム深部にアクセスし、その機密情報を扱う。いわば、価値の高い情報の「ハブ」だ。攻撃者にとって、このハブを攻略することは、個々の企業を一つずつ攻撃するよりもはるかに効率的である。今回の事件は、企業の核心業務だけでなく、顧客の機密情報を取り扱う周辺業務のセキュリティがいかに重要であるかを物語っている。

GitLab社の見解が示す「自己管理」の責任

BleepingComputerの取材に対し、GitLab社は「自社のプラットフォームやアカウントが侵害されたわけではない」とコメントしている。侵害されたのはRed Hatが自社で管理・運用する「GitLab Community Edition」のインスタンスであり、そのセキュリティ対策は運用者であるRed Hatの責任範囲である、というのがGitLab社のスタンスだ。

これは、クラウドサービス(SaaS)と自己管理型(セルフホスト)ソフトウェアの責任分界点を明確に示すものだ。利便性の高いSaaSと引き換えに、自由度と管理責任が求められる自己管理型ソフトウェアのセキュリティは、運用者のスキルと意識に大きく依存する。今回のインシデントは、自己管理型システムを運用する全ての企業に対し、そのセキュリティ体制を再点検するよう強く促すものだろう。

今後の焦点と企業が取るべき対策

Red Hatは現在、影響を受けた顧客への個別の連絡を進めている。今後の焦点は、漏洩した情報が実際にどの程度悪用され、二次被害が発生するかに移る。

Red Hatの顧客、特にリストに名前が挙がった企業は、警戒レベルを最大限に引き上げる必要がある。具体的には、漏洩した可能性のある認証情報(APIキー、パスワード、SSHキーなど)の棚卸しと強制的なローテーション、そして不審なアクティビティを検知するための監視体制の強化が急務となる。

本件は、すべての企業にとって他人事ではない。自社の情報だけでなく、取引先や委託先が保有する自社情報の管理体制についても、改めて確認する必要がある。ソフトウェアサプライチェーンが複雑に絡み合う現代において、セキュリティは自社だけで完結するものではなく、エコシステム全体で取り組むべき課題であることを、この事件は痛烈に示している。Red Hatの今後の調査報告と、業界全体の対応が注視される。


Sources