サイバー犯罪
顧客情報は盗まれていない。操業への影響もない。身代金の支払いもない
可視化監視ツール企業のGrafana Labsは、攻撃者がそのGitHubリポジトリにアクセスしてコードベースを盗んだことを明らかにしました。
同社はソーシャルメディアの投稿で、GitHubへのアクセスを提供するトークンを何らかの方法で入手した「不正な当事者」に責任があると非難しました。
同社は認証情報の漏洩源を特定したと考えており、したがって「侵害された認証情報を無効化し、不正アクセスからの環境をさらに確保するための追加的なセキュリティ対策を実施した」と述べています。
しかし、これが攻撃者がGrafanaにコードをリリースしない限り身代金を支払うよう脅迫することを止めるに至らなかった。
Grafanaは身代金を支払わないと述べています。
「当社の運用経験と連邦捜査局の公開されたスタンスに基づいており、同局は『身代金を支払ってもあなた、またはあなたの組織がデータを取り戻す保証はない』し、『このタイプの違法活動に関与するインセンティブを他者に提供するだけ』だと述べていることから、進むべき適切な道は身代金を支払わないことだと判断しました」と同社は書きました。
Grafanaの製品の多くは既にオープンソースであるため、このスタンスが完全に原則的なものであるかどうかは明らかではありません。同社の投稿は、攻撃者が自由に入手できないコードにアクセスしたことを示唆しています。
The Registerは、攻撃者が主にすでにオープンソースのコードを取得した場合、Grafanaが身代金を支払う理由がないかもしれないため、攻撃者が正確に何にアクセスしたのかについて説明を求めています。
このインシデント中に顧客データや個人情報がアクセスされていないこと、および顧客システムまたは操業への影響の証拠が見つからないことを同社が「判断した」ため、Grafanaの身代金を支払わないという決定はおそらく他のサイバー犯罪の被害者よりも容易です。
したがって、同社は攻撃者がダウンロードしたコードが事業に実質的な異なるは生じないか、顧客に危害を加えないことに確信しているようです。
教育用ソフトウェア大手のCanvasの場合は同じことは言えませんでした。同社は先週、275百万人以上の学生と教職員の情報を盗んだと主張する恐喝者に身代金を支払いました。
The RegisterはGrafana Labsから追加情報を受け取った場合、このストーリーを更新します。®
