Grafana Labsセキュリティアップデート:TanStack npmサプライチェーンに起因するランサムウェアインシデントに関する最新情報

Grafana Labsセキュリティアップデート:TanStack npmサプライチェーンに起因するランサムウェアインシデントに関する最新情報

Unknown Author

2026-05-191 min
Twitter
Facebook
LinkedIn

2026年5月16日、Grafana Labsはサイバー犯罪グループによる標的型攻撃を確認しました。この攻撃により、当社のGitHubリポジトリへの不正アクセスが発生し、コードベースがダウンロードされました。その後、攻撃者はデータの公開を脅迫材料に身代金を要求してきました。

同日に初期調査の結果を公表して以来、当社は調査を継続しており、インシデントへの対応および被害軽減策の詳細を共有するため、このブログを公開いたしました。調査がすべて完了した段階で、事後報告書(ポストインシデントレポート)を改めて公開する予定です。

現時点までの調査において、お客様の本番システムや業務運用が侵害されたという証拠は見つかっておりません。本インシデントの影響範囲はGrafana LabsのGitHub環境に限定されており、当社の本番システムやGrafana Cloudプラットフォームへの影響は及んでおりません。

初期アセスメントの結果、ダウンロードされたコンテンツには、ソースコードに加えて、一部のGrafana Labsチームが社内の運用情報や、当社事業に関するその他の情報の共有や保管に使用しているGitHubリポジトリが含まれていることが判明しました。これには、ビジネス上の関係においてやり取りされる業務用の連絡先氏名やメールアドレスが含まれますが、本番システムやGrafana Cloudプラットフォームの利用を通じて取得・処理された情報ではありません。

Grafana LabsのオープンソースプロジェクトおよびGrafana Cloudプラットフォームをご利用の皆様へ明確にお伝えいたします。当社のコードベースはダウンロードされましたが、改ざんは行われておりません。 現時点で、お客様およびオープンソースユーザーの皆様にご対応いただく必要はありません。

当社は現在もログやテレメトリ(監視データ)、社内全体のGitHubリポジトリ内のあらゆる利用可能なデータを精査し、調査を継続しています。万が一、お客様のシステムや運用に影響があると判断した場合には、対象となるお客様へ直接通知いたします。

Grafana Labsにとって、コミュニティの皆様の信頼を獲得し、維持することは、すべての活動の基盤です。当社は、お客様が信頼できるパートナーとして当社を頼りにしてくださっていることを深く認識しており、その責任を重く受け止めています。皆様にご不明な点やご懸念があることを踏まえ、また本件を非常に重く受け止めていることから、透明性を重視し、この最新情報を共有いたします。

概要と背景

本インシデントは、「Mini Shai-Hulud」キャンペーンを介したTanStack npmサプライチェーン攻撃に起因するものです。当社は5月11日に悪意のあるアクティビティを検知し、直ちにインシデント対応計画を開始いたしました。

影響の分析を行い、迅速に多数のGitHubワークフロートークンをローテーション(再生成)したものの、ローテーション漏れとなった1つのトークンが原因で、攻撃者による当社GitHubリポジトリへの不正アクセスを許す結果となりました。その後の精査により、当初は影響がないと判断していた特定の GitHubワークフローが、実際には侵害されていたことが確認されました。

5月16日、当社は悪意のある攻撃者から、コードベースの公開を阻止するための身代金の支払いを要求されました。Grafana Labsは、この身代金要求に応じないことが適切な対応であると決定いたしました。この決定は、「身代金の支払いはセキュリティを保証するものではなく、さらなる犯罪行為を助長するだけである」という FBI(米国連邦捜査局)の公式見解とも一致しています。

身代金要求グループからの接触を受けた直後、当社は被害軽減措置を開始しました。これには、自動化トークンのローテーション、監視の強化、5月11日の事象発生以降のすべてのコミットの監査、およびGitHubのセキュリティ体制の大幅な強化が含まれます。

また、連邦法執行機関にも通報を行っており、今後の状況についても継続的に情報を共有し、対話を続けてまいります。

影響と対応

現時点までの調査結果では、本インシデントの影響範囲はGrafana LabsのGitHubリポジトリ(公開および非公開のソースコード、ならびに社内運用のリポジトリ)に限定されていることが示されています。

お客様の本番システムや業務運用が侵害されたという証拠は見つかっておりません。

当社の標準的なセキュリティプラクティスの一環として、調査がすべて完了した段階で、事後レビューで得られた追加情報を共有いたします。

Grafana Labsは、システムを保護するためのセキュリティ対策のさらなる強化にも取り組んでいます。現在、CI/CD(継続的インテグレーション/継続的デプロイメント)パイプラインの安全性をさらに高め、同種の事象の再発を防止するための大幅な対策を進めております。

当社のチームは、引き続き調査を徹底するとともに、強化したセキュリティ管理策の導入に注力してまいります。

Tags

Security