Author

technews

世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

GrafanaがGitHub侵入を公表　盗まれたトークンでソースコードが持ち出された話

キーポイント

• Grafana Labsが、​盗まれた GitHub access token を悪用され、​ソースコードをダウンロードされたと明らかにした
• 顧客データや個人情報は漏れていないと現時点では説明している
• 攻撃者は身代金を要求したが、Grafanaは支払いを拒否した
• 犯行声明を出したのは、比較的新しい恐喝グループ CoinbaseCartel
• 侵入経路の中心は、いかにも地味だけど怖い 資格情報の漏えい だった

何が起きたのか

Grafana Labsが、GitHub環境に侵入され、​ソースコードをダウンロードされたと公表しました。侵入に使われたのは、​盗まれた access token です。

access token は、ざっくり言うと「この人は正規の利用者です」とサービスに証明するためのデジタルな鍵です。これが漏れると、パスワードを知らなくても、正規ユーザーのふりをしてアクセスされることがあります。
個人的には、ここがこの事件のいちばん嫌なところだと思います。​派手なゼロデイ攻撃ではなく、まず「鍵を盗む」だけで中に入っている。攻撃としては地味なのに、効果はかなり大きいからです。

Grafanaは、今回の調査で顧客データや個人情報が漏れた証拠は見つかっていないとしています。さらに、​顧客のシステム自体には影響がなかったとも説明しています。
つまり、少なくとも今回の時点では「Grafana自身の開発環境が狙われた事件」であり、利用者側のサーバーが直接やられたわけではなさそうです。

Grafanaって何がそんなに重要なの？

Grafanaは、​データを見やすくグラフ化するための有名なオープンソース基盤です。監視、分析、リアルタイムの可視化に使われ、企業のシステム運用ではかなりおなじみの存在です。

記事によると、​7,000以上の組織が利用しており、​Fortune 50の70%が使っているとのこと。
この数字を見ると、単なる1社のトラブルではなく、​開発基盤やソフトウェア供給網に関わる事件として重みがあるのがわかります。ソースコードは製品そのものの設計図のようなものなので、外に出ると厄介です。

攻撃者は何を狙ったのか

Grafanaによれば、攻撃者は脅迫もしてきました。
「盗んだソースコードを公開されたくなければ金を払え」という、典型的な恐喝の流れです。

ただしGrafanaは、​FBIの公開方針に従い、身代金は支払わないと決めました。理由としては、払ってもデータが戻る保証はなく、むしろ「払う会社がある」と思われると、同様の攻撃を増やしかねないからです。

この判断はかなり現実的だと思います。
被害を受けた側からすると「今すぐ止めたい」と思うのは当然ですが、​払うことが次の被害者を増やすというのは、サイバー犯罪でよくある厄介な構図です。

調査で分かったこと

Grafanaは、漏えいした認証情報の出どころを特定し、​compromised credentials を無効化したと述べています。さらに、​追加のセキュリティ対策も導入したとのことです。

ここで重要なのは、攻撃の後始末として「犯人を追う」だけでなく、

• 漏れた鍵を無効化する
• 似た事故が起きないように設定を見直す
• 侵入の経路を洗い出す

という、地味だけど超重要な作業をやっている点です。セキュリティ事故は、事件そのものより再発防止の設計で会社の実力が見えます。

犯行声明を出した CoinbaseCartel とは

今回の攻撃を主張しているのは、​CoinbaseCartel という比較的新しい恐喝グループです。昨年9月に活動を始めたとされ、今年はすでに100件以上の被害者をデータ流出サイトに掲載しているとのこと。

このグループは、主にデータの窃取と恐喝を行うタイプです。
記事では、複数の研究者の見方として、CoinbaseCartel は ShinyHunters と Lapsus$ の関係者で構成されている可能性があるとされています。ただし、これは研究者の分析であって、確定事実として断言されているわけではありません。

また、ShinyHunters 側は BleepingComputer に対して、​CoinbaseCartel は自分たちとは無関係だと話したそうです。
このあたり、名前の似たグループや派生関係が絡んで、外から見るとかなりややこしいです。正直、サイバー犯罪界隈の「誰と誰が同じ陣営なのか」は、一般人には追い切れないくらい入り組んでいます。

こういう事件が怖い理由

今回の事件でいちばん示唆的なのは、​GitHubのような開発基盤が直接狙われることです。

昔ながらの「サーバーにマルウェアを入れる」攻撃だけでなく、今は

• 開発者アカウント
• API token
• GitHub や CI/CD の設定
• パッケージ管理の仕組み

みたいな、​ソフトウェアを作る側の道具が狙われます。
ここを破られると、完成品そのものより先に、​設計図や内部情報が抜かれる。これはかなり面倒です。

個人的には、これからのセキュリティで本当に大事なのは「ソフトウェアをどう守るか」だけでなく、​ソフトウェアを作るプロセス自体をどう守るかだと思います。開発環境の防御は、地味ですが最重要級です。

まとめ

Grafanaの件は、派手な破壊よりも、​認証情報の盗難から開発資産を抜き取るという、今どきの攻撃の典型を示しています。

被害としては、少なくとも現時点では

• 顧客データ流出は確認されていない
• 顧客システムへの影響も確認されていない
• ただしソースコードは持ち出された

という状況です。

ソースコードが漏れると、すぐに一般ユーザーが直接困るとは限りません。ですが、将来の攻撃研究、脆弱性の発見、内部構造の把握など、いろいろな悪用につながる可能性があります。
だからこそ、こういう事件は「被害が軽そう」に見えても、実はかなり重い。そこが怖いところです。

参考: Grafana says stolen GitHub token let hackers steal codebase

同じ著者の記事

ジェンスン・フアンが「知っていたらNVIDIAは始めなかった」と語る理由

NVIDIA CEOのジェンスン・フアンが、「これから起きる苦しみを全部知っていたら、NVIDIAをもう一度は立ち上げない」と語った 成功の裏には、屈辱、失敗、解雇、資金難、ほぼ倒産しかけるような局面が何度もあった 2008年の金融危機では株価が大きく下がり、社内外から戦略を疑われた いまAIの中心企業になったNVIDIAだが、その道のりはきれいな成功物語ではなく、かなり泥くさい フアンは、つらい過去を引きずらず「昨日を忘れる」ことが生き残りのコツだったと振り返っている NVIDIAといえば、いまやAIブームのど真ん中にいる巨大企業です。GPUの会社というイメージを超えて、今では「AI時代のインフラ企業」と言ってもいい存在になりました。市場価値は5.3兆ドルと記事では紹介されていて、これはもう規模感がちょっと現実離れしています。 でも、今回のBusiness Insiderの記事で面白いのは、ジェンスン・フアンがその成功を誇る話ではなく、むしろ「あの苦しみを知っていたら、同じ道は選ばない」と正直に言っているところです。 これ、かなり率直です。経営者の発言としては、むしろ珍しいく

papoo.work

ロンドン警察、デモで初の顔認証導入へ――「安全」と「監視」の境界線はどこか

ロンドン警視庁（Met）が、デモ参加者に対して live facial recognition（LFR） を初めて使うと発表した 対象は「Unite the Kingdom, Unite the West」集会で、Camden地区で実施される予定 同じ日にある親パレスチナのデモには、同じ監視を適用しないとしている これに対し、“二重基準ではないか” という批判が出ている さらに、ロンドンでは 街頭の固定カメラに顔認証を載せる実験 も進んでおり、監視が“常態化”しつつあるように見える 記事は、民主的な議論や法律の整備が追いつかないまま、顔認証が広がっている点を強く問題視している 英サイト *Reclaim The Net* の記事によると、ロンドン警視庁は、政治的なデモの会場で初めて live facial recognition（ライブ顔認証） を使うと発表しました。 live facial recognition というのは、カメラで映った人の顔をその場で読み取り、警察が持つwatchlist（照合対象の名簿）と比べる仕

papoo.work

AIが賢くなるほど、人間は考えなくなる？ 便利さの裏にある“思考力の外注”問題

Digital Trends は、AIの即答が人間の好奇心や検証習慣を弱めるかもしれない、と伝えている 英国の Royal Observatory Greenwich は、AIに頼りすぎると「本当の知識」を作るための過程が失われると警告している AIは調査の助けになる一方、答えが速すぎるせいで考えるプロセスを飛ばしてしまう危険がある OpenAIのSam Altmanは、AIが電気や水のように“使った分だけ払うサービス”になっていくと語っている 記事は、AIに答えを丸投げするのではなく、反論させる・不足を探させる・出典を確認する使い方が大事だと提案している Digital Trendsの記事は、かなり身もふたもないけれど重要な問いを投げかけています。 AIがどんどん賢くなるほど、人間は逆に“考えなくなる”のではないか？ という話です。 きっかけは、英国の Royal Observatory Greenwich（グリニッジ天文台）による警告。 AIは質問に一瞬で答えてくれるので便利ですが、その便利さが行きすぎると、 もっと知りたいと思う**

papoo.work

Appleが見せた“アクセシビリティの未来”：Apple Intelligenceで広がる使いやすさ

Appleが、次期OS向けのアクセシビリティ機能をまとめて発表しました。 今回の目玉は、やはり Apple Intelligence を使って、VoiceOver、Magnifier、Voice Control、Accessibility Reader などを強化している点です。 アクセシビリティ、つまり「誰でも使いやすくするための機能」は、正直いって地味に見えがちです。ですが、実はここがスマホやPCの“本当の使いやすさ”を決める場所だと思います。しかも今回はAIをただの流行り言葉として載せるのではなく、かなり実用寄りに落とし込んでいるのが面白いです。 Apple Intelligenceで、画面の内容説明や音声操作がより自然になる VoiceOver、Magnifier、Voice Control、Accessibility Readerが大きく強化 字幕の自動生成が、録画動画や受信動画にも対応 Apple Vision Proで、車椅子の操作支援まで広がる そのほか、難聴対応、視認性向上、ゲームコントローラ対応など細かな改善も多数 いずれも今年後半のOSアップデートで提供予

papoo.work

Amazonbotがついにrobots.txtを尊重するようになった話

Amazonのクローラー「Amazonbot」が、robots.txt をちゃんと見るようになった、という話題 これでサイト運営者は、Amazonbotに来てほしい／来てほしくない をよりはっきり制御しやすくなる 元記事の筆者は、ちょっと皮肉まじりに「Amazon、やっとビジネスモデルが成立したね」と書いていて、かなり笑える 一方で、記事本文の中身は非常に短く、実質的には“サイト側の防御が効いている” ことを示す画面が中心 背景として、最近のWebはボット対策がどんどん重要になっていて、robots.txt はその基本ルールのひとつ 元記事のタイトルは 「Amazonbot is finally respecting robots.txt」。 つまり、Amazonが運用しているボット「Amazonbot」が、ウェブサイト側の指示をまとめた robots.txt をようやく尊重するようになった、という報告です。 robots.txt は、サイトの持ち主が「このページは巡回しないで」「この場所は見てもいいよ」と、検索エンジンや各種ボットに伝え

papoo.work

SDカードからDebianが起動するタブレット改造プロジェクト「rkdebian」が面白い

Doogee U10（RK3562搭載）で Debian 12 Bookworm を動かすためのビルドシステム ブートローダーのアンロック不要、SDカードから起動して使える SDカードを抜けば ふつうのAndroidに戻る ので、内部ストレージを汚さない 画面、タッチ、Wi-Fi、Bluetooth、音声、バッテリーなど、かなりの機能が動作 GPUは mali系のvendor stack が標準、panfrost も選べる RK3562の NPU を使ったローカルLLM推論にも対応している ただしカメラやGPUまわりなど、まだ調整中の部分もある GitHubの `tech4bot/rk3562deb` は、Doogee U10というAndroidタブレットを、Debian 12のLinuxマシンとして使うためのプロジェクトです。 ここでまず面白いのは、単なる「Linuxを入れてみた」話ではないこと。 このリポジトリは、SDカードに書き込んだイメージからタブレットを起動できるようにする“ビルドシステム”になっています。つまり

papoo.work

jankが独自IRを手に入れた話：Clojure風言語を本気で速くするための土台づくり

jank が 独自の custom IR（中間表現） を導入した これまでの LLVM IR では、Clojure 的な意味をうまく表せず最適化しづらかった 新しい IR は Clojure の semantics に寄せた高レベル設計 で、最適化の余地を増やす狙いがある IR は SSA形式 と CFG（制御フローグラフ） で表現され、解析しやすい まずは recursive fibonacci をベンチマークに、jank を JVM 版 Clojure に近づける作戦 この記事時点ではまだ最適化パスは本格稼働していないが、土台は整った Clojure系の言語を作っている jank が、自前の IR（Intermediate Representation / 中間表現） を持つようになった、というのがこの記事の主題です。 IRというのは、ざっくり言うと「ソースコードをそのまま機械語にする前に、一度コンパイラが扱いやすい形に変換したもの」です。 ちょっと難しく聞こえますが、要するに 翻訳の途中にある“整理された下書き” み

papoo.work

いちご1個にどれだけ手間をかけるのか――SuperSplatで見る「Strawberry」の異常な完成度

90方向から撮影したストロベリーの3D作品 1方向につき88枚をfocus stackingして、ピントの合った画像を作成 撮影機材はNikon Z8、Laowa 180mm macro lens、LED light、bluescreen 3D化の学習には slang-splat を使用 作品は CC BY 4.0 で公開。クレジット表記は推奨だが必須ではない 元の COLMAP dataset もPatreonで入手可能 SuperSplatに公開されている 「Strawberry」 は、その名の通り、いちごを題材にした3D作品です。 ただのフルーツ写真だと思ったら大間違いで、制作条件を読むとかなり気合いが入っています。 作者はこの作品を、90個の視点から撮影したそうです。 しかも各視点で、88枚のfocus stacked images を使っています。 ここでいう focus stacking は、簡単に言うと「ピント位置の違う写真を何枚も重ねて、全体にくっきり見える1枚を作る方法」で

papoo.work

正規表現でチェスを指す狂気の発明「Regex Chess」を読んでみた

Nicholas Carlini氏が、84,688個のregular expressionsで動くチェスエンジンを作った ただし本物の強いAIではなく、2-ply minimax（自分→相手の2手先まで見る簡易探索）で動く“変な実験” 仕組みの核心は、正規表現を命令として使う擬似CPUを作り、その上でチェスの手を選ばせていること 状態は1本の文字列で管理し、stackとvariablesを正規表現の置換で操作する 面白さは「正規表現は検索ツール」という常識を、計算機の材料にひっくり返しているところにある 正規表現でチェスを指す。 この一文だけでもう十分に変です。しかも、ただのネタではなく、実際に有効な手を返すチェスエンジンとして動くのがこの話のすごいところ。作者のNicholas Carlini氏は、84,688個のregular expressionsを順番に実行することで、盤面に対して1手を決める仕組みを作りました。 もちろん、強いわけではありません。記事のタイトルにもある通り、2-ply minimaxです。

papoo.work

npmで“また起きた”のに、誰も止められないことにされる話

この記事は、npmのサプライチェーン攻撃をネタにした風刺記事 「防ぎようがない」と言う開発者たちを、かなり痛烈に皮肉っている npmは便利な一方で、大量の第三者パッケージに依存しやすいのが弱点 Go、Rust、Web APIs のように、標準機能が強い環境との対比が面白い ただのジョーク記事ではあるけれど、依存関係の管理と安全設計の重要さはかなり本質的 Kevin Patel の記事は、「npmで起きるサプライチェーン攻撃は、もうどうしようもない」という空気を、これでもかというほど皮肉った風刺です。 元記事では、npmレジストリで壊滅的な攻撃が起きて、企業アプリが大量に巻き込まれ、ユーザーデータも漏れた、という設定で話が進みます。 そのうえで、開発者たちが「仕方ないよね」「現代のWeb開発の代償だよ」と、まるで天災みたいに受け止めている様子が描かれます。 これがかなり痛烈です。 というのも、実際のセキュリティ事故では、後から「予防は難しかった」と言われがちですが、この記事はそこに真正面からツッコミを入れているわけです。 **本当に防げなかったのか

papoo.work