「コードを公開されたくなければ支払え」 Grafana Labs侵害で見えた新恐喝モデル：開発基盤は攻撃者の格好の獲物に

開発基盤そのものが“侵入口”になる――。Grafana Labsで発生したGitHub認証情報漏えいは、コード窃取や恐喝だけでは終わらない危うさを浮き彫りにした。攻撃者はどのように開発フローへ入り込み、なぜ非公開リポジトリーまで到達できたのか。

[有限会社オングス,田渕聖人，＠IT]

　Grafana Labsは2026年5月17日（米国時間）、同社の「GitHub」環境で利用していた認証トークンが第三者に不正取得され、内部コードベースの一部が外部に持ち出されたと公表した。攻撃者はその後、盗み出したコードを公開しないことと引き換えに金銭を要求したが、同社は支払いを拒否する方針を示している。

GitHub認証情報の漏えいから侵害か　このインシデントから得るべき教訓

　同社が公式「X」（旧「Twitter」）で公開した声明によると、今回の不正アクセスはGitHub関連の認証情報漏えいが発端だった。攻撃者は漏えいしたトークンを悪用し、Grafana Labsのコードベースにアクセス。一部のリポジトリーの内容をダウンロードしたという。

　現時点の調査では、顧客データや個人情報にアクセスされた痕跡は確認されていない。また、顧客システムや本番運用環境に影響を示す証拠も見つかっていないとしている。

　インシデント発覚後、Grafana Labsはフォレンジック調査を開始した。同社は、認証情報がどのように漏えいしたのかについて「原因をほぼ特定できた」と説明しており、侵害されたトークンを無効化した他、追加の防御策も導入した。調査完了後には、詳細な技術情報を公開する予定だとしている。

　攻撃の流れとしては、攻撃者が「Grafana」関連リポジトリーをfork（複製）した後、悪意あるコードを混入させ、環境変数を外部サーバに送信する処理を実行したとみられている。環境変数にはAPIキーや認証情報など機密データが含まれるケースが多く、そこから追加の認証情報が窃取された可能性がある。

　さらに、盗み出した認証情報は暗号化ファイルを通じて外部に持ち出され、その後、複数の非公開リポジトリーにアクセスを拡大。いわゆる「横展開」を進めたという。攻撃者は痕跡隠滅のため、悪用に使用したforkを削除していたとされる。最終的にコードベースを取得した後、Grafana Labsに対して金銭を要求した。

　Grafana Labsは、身代金支払いを拒否した理由として、米国連邦捜査局（FBI）の見解を引用している。FBIは以前から、「身代金を支払ってもデータ返還や情報非公開が保証されるわけではなく、結果的に同種犯罪を助長する可能性がある」と警告してきた。Grafana Labsも、過去のインシデント対応経験を踏まえ、支払いに応じない判断を下したとしている。

　今回の事案は、CI/CD（継続的インテグレーション／継続的デリバリー）パイプラインやソフトウェアサプライチェーン防御の難しさを改めて浮き彫りにした。特に、「GitHub Actions」など開発自動化基盤の設定不備を狙う攻撃は、オープンソース開発コミュニティー全体で継続的な課題となっている。

　Grafana Labsは、侵害判明後に認証情報の失効やワークフロー停止などの封じ込め措置を実施したとしており、今後は詳細な原因分析や再発防止策を公開する予定だ。今回の侵害がどのように発生し、どこまで影響が及んだのか、その詳細に注目が集まりそうだ。

〜記者の目：ニュースをちょっと深掘り〜

　Grafana Labsのインシデント事案は、単なる「GitHubの認証情報漏えい事件」ではない。本質はソフトウェア開発基盤そのものが、攻撃者にとって極めて価値の高い“侵入口”に変化している点にある。近年、企業システムへの侵入経路はVPNやメールから、CI/CDやGitHub Actionsといった開発自動化基盤に急速にシフトしている。この背景には、これらの基盤を侵害することでソースコードや秘密情報、クラウド認証情報、デプロイ権限まで一気に手に入る可能性があるためだ。

　特に危険なのが、今回も焦点となった「環境変数」である。開発現場では利便性を優先し、APIキーやクラウド認証情報、各種シークレットを環境変数に格納するケースが多い。しかしGitHub ActionsやCI/CDワークフローに悪意あるコードを差し込まれた瞬間、それらは大きなリスクだ。攻撃者にとっては、エンドポイント侵害より効率的な情報収集手段になりつつある。

　さらに注目すべきは、攻撃者がforkを悪用していた点だ。forkはOSS開発に欠かせない機能だが、その柔軟性が逆に監視の死角を生みやすい。開発チームは通常「本番コード」には厳しいレビューを適用する一方、派生リポジトリーや一時的なワークフローには十分な監査を実施できていないケースが多い。攻撃者は、まさにその“運用の緩み”を突いてくるのだ。

　今回、Grafana Labsは比較的早期に侵害を公表し、トークン失効やワークフロー停止などの封じ込めを実施した。この初動対応は評価できる一方で、これは決してGrafana Labs固有の問題ではない。GitHubを中心に開発を進める企業の多くが、同じ構造的リスクを抱えている。DevSecOpsを掲げながらも、実態は「認証情報管理を開発者の善意に依存している」組織は多いことだろう。

　今後、攻撃者はさらに「開発工程そのもの」を狙うようになるはずだ。コード改ざんや依存パッケージ汚染、CI/CD乗っ取り、Secrets窃取――。従来の“境界防御”だけでは、こうした攻撃を防ぎ切れない時代が始まっている。企業に求められるのは、GitHubを単なるコード保管庫ではなく、「本番環境と同等の重要インフラ」として扱う視点なのかもしれない。（田渕聖人）