TechFlowより、5月20日、Grafana Labsの公式ブログが報じたところによると、2026年5月16日、同社はサイバー犯罪グループによる標的型攻撃を受けたと確認しました。攻撃者は、TanStack npmサプライチェーン脆弱性(「Mini Shai-Hulud」活動)を悪用し、5月11日にGrafana LabsのGitHubリポジトリに侵入。これにより、公開および非公開のソースコード、内部運用情報、および一部のビジネス関係者のメールアドレスなどがダウンロードされました。その後、攻撃者は身代金要求を行いました。
Grafana Labsは、当該コードベースはダウンロードのみされ、改ざんは一切行われていないと説明しています。また、顧客の本番システムおよびGrafana Cloudプラットフォームには影響が及んでおらず、現時点で身代金の支払いは行わない方針であると発表しました。さらに、連邦捜査当局にも通報済みです。同社は、アクセストークンのローテーション、ログのレビュー、コミットの監査、CI/CDパイプラインのセキュリティ強化などの対応措置を既に開始しており、調査終了後に包括的な事後報告書を公表する予定です。
お気に入りに追加
SNSで共有
