Rob Wright、シニアニュースディレクター、Dark Reading
2025年10月3日
読了時間:3分
出典:Kristoffer Tripplaar(Alamy Stock Photoより)
Red Hatは、脅威アクターがLinuxソフトウェアメーカーの数万件に及ぶプライベートリポジトリへの侵入を主張した後、自社のGitLabインスタンスに影響を及ぼすセキュリティインシデントが発生したことを確認しました。
水曜日、Dark Readingおよび他のメディア宛てに送信されたメールで、「Crimson Collective」と呼ばれるサイバー犯罪グループに関与する匿名の人物が、Red Hatのプライベートリポジトリ28,000件が侵害されたと主張しました。またこの人物は、ソフトウェアコードに加え、これらのコード保管インスタンスには「すべてのクライアントのCER」(おそらく「カスタマー・エンゲージメント・レポート」を指す)が含まれているとも述べています。
Red Hatの広報担当者はこのインシデントを認め、攻撃は「Red Hat Consultingがコンサルティング業務のためだけに使用しているGitLabインスタンスに関連しており、初期報道で言及されたGitHubではない」と述べました。
「Red Hatは、当社のコンサルティング事業に関連するセキュリティインシデントに関する報告を認識しており、必要な是正措置を開始しました」と広報担当者は述べました。「当社のシステムおよびお客様からお預かりしているデータのセキュリティと完全性は最優先事項です。現時点では、今回のセキュリティ問題が他のRed Hatサービスや製品に影響を及ぼしているとは考えておらず、当社のソフトウェアサプライチェーンの完全性にも高い自信を持っています。」
どのようにしてプライベートリポジトリが侵害されたのか、またCERにどのような情報が含まれているのかは不明です。ベルギーサイバーセキュリティセンター(CCB)が木曜日に公開した勧告によると、CERにはネットワーク情報、構成データ、認証トークンやキーが含まれている可能性があるとのことです。
CCBは、Red Hat Consultingサービスを利用するベルギーの組織に「高リスク」があると述べています。「サービスプロバイダーやITパートナーがRed Hat Consultingと協力していた場合、サプライチェーンへの影響も考えられます」と勧告には記載されています。
Red Hatの侵害は最新のサプライチェーン脅威に
CCBの勧告は、Red Hatと共有した、またはRed Hatとの連携で使用したすべてのトークン、キー、認証情報のローテーションを組織に呼びかけています。また、企業はサードパーティのITプロバイダーに連絡し、Red Hat Consultingを利用していたかどうかを確認し、「潜在的な影響範囲を評価する」よう助言しています。
今回のリポジトリ侵害は、今年発生した最新のサプライチェーン脅威となる可能性があります。コードリポジトリは長年にわたり様々な脅威アクターの標的となってきましたが、ここ数か月で複数のインシデントが多くの組織に重大な影響をもたらしています。
たとえば、この夏に発生したSalesforce顧客環境の大規模な侵害のいくつかは、サードパーティ企業のGitHubアカウントが侵害されたことから始まりました。UNC6395として追跡されている脅威グループは、Salesloft(Salesforceのパートナー)のGitHubアカウントにアクセスし、同社のDriftアプリケーションから盗まれたOAuthトークンを使って顧客のSalesforce環境に侵入しました。
一方で、Crimson CollectiveがどのようにRed HatのGitLabインスタンスにアクセスしたのかは依然として不明です。Dark ReadingはGitLabにコメントを求めましたが、記事執筆時点では回答はありませんでした。
2024年5月、脅威アクターは重大な脆弱性を悪用し、GitLabアカウントを乗っ取ることが可能となりました。この脆弱性(CVE-2023-7028)は、CVSSの最高スコアである10が付与されています。
その後間もなく、GitLabは2件の類似した脆弱性(CVE-2024-5655およびCVE-2024-6385)を公開・修正しました。これらは顧客のCI/CDパイプラインを危険にさらすものでした。両方とも重大な脆弱性でしたが、実際の悪用は報告されていません。
