オープンソースの可視化ソフトウェアを手掛けるGrafana Labsは、同社のGitHub環境がサイバー攻撃を受け、ソースコードや内部情報が流出したことを明らかにしました。この攻撃は、TeamPCPが主導したTanStack npmサプライチェーン攻撃に端を発しており、OpenAIやMistral AIといった大手企業も標的となったと報じられています。幸いにも、顧客の生産システムや運用環境への直接的な侵害は確認されていないものの、今回の事態はソフトウェア開発におけるサプライチェーン攻撃の深刻なリスクを改めて浮き彫りにしています。
Grafana GitHub侵害の経緯と詳細
Grafana Labsが2026年5月19日に発表した情報によると、同社は同年5月11日にGitHub環境における不正活動を検知しました。このインシデントの影響範囲は、Grafana LabsのGitHub環境に限定されており、公開および非公開のソースコードに加え、社内GitHubリポジトリも含まれると説明されています。
初期の評価では、流出したデータにはソースコードだけでなく、一部のGrafana Labsチームが共同作業や社内運用情報の保管に利用しているGitHubリポジトリも含まれていたことが判明しました。具体的には、ビジネス上の関係でやり取りされる連絡先の氏名やメールアドレスが含まれていましたが、これらは生産システムやGrafana Cloudプラットフォームから直接取得された情報ではないとのことです。このため、顧客の機密データやシステムへの直接的な影響は限定的であるとGrafana Labsは強調しています。
同社はインシデント検知後、迅速に多数のGitHubワークフローのトークンを更新する対応を取りました。しかし、見落とされた一つのトークンが攻撃者によるGitHubリポジトリへのアクセスを許してしまい、その後の再調査で、当初は影響がないと判断されていた特定のGitHubワークフローが、実際には侵害されていたことが判明しました。この見落としが、攻撃者にさらなるアクセスを許す結果となったようです。
攻撃の起点:TanStack npmサプライチェーン攻撃
今回のGrafanaへの攻撃は、悪名高い脅威アクターグループ「TeamPCP」が主導したTanStack npmサプライチェーン攻撃に起因するとされています。サプライチェーン攻撃とは、ソフトウェア開発の過程で利用されるサードパーティ製のコンポーネントやサービスを狙い、その脆弱性を悪用して最終的なターゲットに侵入する手法です。npm(Node Package Manager)はJavaScript開発で広く利用されるパッケージ管理システムであり、そのエコシステムは数百万のパッケージと膨大な依存関係で構成されています。
TanStackは、Reactなどのフロントエンドフレームワークで利用される人気の高いライブラリ群であり、多くの開発プロジェクトで採用されています。このTanStackのnpmパッケージがTeamPCPによって侵害されたことで、そのパッケージを利用している多数のプロジェクトや企業が間接的に攻撃の対象となりました。Grafana Labsの他にも、人工知能分野のリーディングカンパニーであるOpenAIやMistral AIも同様の攻撃を受けていたと報じられており、npmサプライチェーン攻撃の広範な影響力が浮き彫りになっています。
npmパッケージは、現代のソフトウェア開発において不可欠な要素ですが、その利便性の裏にはセキュリティリスクが潜んでいます。一つの脆弱なパッケージがサプライチェーン全体に波及し、最終的に多くの企業のシステムに影響を及ぼす可能性があるため、開発者や企業はパッケージの選定から利用、監視に至るまで、厳格なセキュリティ対策が求められます。
脅迫とGrafanaの対応
Grafana Labsは、GitHub環境への侵害が発覚した後、2026年5月16日に匿名の脅威アクターから脅迫を受けました。しかし、同社は身代金の支払いを拒否する決断を下しました。その理由として、盗まれたデータの削除が保証されないこと、そして身代金を支払うことが将来的な攻撃を誘発する可能性があることを挙げています。サイバー犯罪者への身代金支払いは、一時的な解決策に見えても、長期的には組織のセキュリティ体制を弱め、他の攻撃者の標的になるリスクを高める可能性があります。
身代金支払いを拒否した後、Grafanaは包括的なセキュリティ強化策を講じました。具体的には、全ての自動化トークンの更新、監視体制の強化、悪意のある活動の兆候がないか全てのコミットの監査、そしてGitHub全体のセキュリティ体制の強化といった対策を実行しています。これらの措置は、将来的な攻撃を防ぎ、システムの完全性を維持するための重要なステップです。
なお、今回のインシデントに関連して、データ恐喝グループ「CoinbaseCartel」が、2026年5月15日にダークウェブサイトでGrafana Labsの名を公開していたことも注目に値します。これは、攻撃者が盗んだデータを公開または販売しようとする意図を示唆しており、企業が直面する脅威の多様性を示しています。
サプライチェーン攻撃の深刻な脅威とnpmの脆弱性
サプライチェーン攻撃は、現代のサイバーセキュリティにおいて最も厄介な脅威の一つです。これは、標的となる企業や組織が直接攻撃されるのではなく、その企業が利用しているソフトウェアやサービスの開発・供給プロセス、または関連するサードパーティの脆弱性を突いて侵入する手法です。今回のGrafanaの事例のように、npmパッケージのようなオープンソースコンポーネントが標的となるケースが頻繁に発生しています。
npmエコシステムは、JavaScript開発の基盤であり、世界中の開発者が日々利用する数百万ものパッケージで構成されています。この広大なエコシステムは、開発の効率化に大きく貢献していますが、同時にセキュリティ上の大きな課題も抱えています。多くのnpmパッケージは、さらに他の多数のパッケージに依存しており、その依存関係は複雑なツリー構造を形成しています。このため、依存関係のどこか一つに脆弱性や悪意のあるコードが混入すると、それが連鎖的に多数のプロジェクトに影響を及ぼす可能性があります。
過去にも、npmパッケージに悪意のあるコードが挿入されたり、開発者のアカウントが乗っ取られて不正なバージョンが公開されたりする事例が報告されています。このような攻撃は、正規のパッケージを装って配布されるため、開発者が悪意のあるコードを見抜くことは非常に困難です。また、オープンソースプロジェクトの性質上、多くのパッケージがボランティアベースで開発・メンテナンスされており、セキュリティ監査が十分に行き届かない場合があることも、脆弱性の温床となり得ます。
開発者は、npmパッケージを利用する際に、そのパッケージの信頼性、メンテナンス状況、過去のセキュリティインシデントの有無などを慎重に評価する必要があります。また、依存関係のスキャンツールや、サプライチェーンセキュリティプラットフォームを活用し、潜在的なリスクを早期に発見・対処する体制を構築することが重要です。
企業が取るべきセキュリティ対策
Grafanaの今回のインシデントは、あらゆる企業がサプライチェーン攻撃のリスクに真剣に向き合う必要があることを示しています。以下に、企業が取るべき主要なセキュリティ対策を挙げます。
アクセス権限の最小化(Least Privilege)
全てのシステム、特にGitHubのような開発環境やクラウドサービスへのアクセス権限は、必要最小限に限定すべきです。開発者や自動化ツールには、その業務を遂行するために必要な最低限の権限のみを付与し、不要なアクセスを厳しく制限することで、万一アカウントが侵害された際の被害を最小限に抑えることができます。
多要素認証(MFA)の徹底
パスワードだけでなく、多要素認証(MFA)を全てのシステム、特に開発者アカウントや管理者アカウントに義務付けるべきです。MFAは、パスワードが漏洩した場合でも不正アクセスを防ぐための強力な防御策となります。
定期的なセキュリティ監査と脆弱性診断
自社のシステム、アプリケーション、そして利用しているサードパーティ製コンポーネントに対して、定期的なセキュリティ監査と脆弱性診断を実施することが不可欠です。特に、オープンソースライブラリの依存関係をスキャンし、既知の脆弱性がないか常にチェックするツールを導入すべきです。
サプライチェーンリスク管理の強化
利用する全てのサードパーティ製ソフトウェアやサービスについて、そのセキュリティ体制を評価し、リスクを管理するプロセスを確立します。契約段階でのセキュリティ要件の明確化や、定期的なベンダー監査の実施などが含まれます。
インシデント対応計画の策定と訓練
万一のセキュリティインシデント発生時に備え、明確な対応計画を策定し、定期的に訓練を実施しておくことが重要です。誰が、いつ、何をすべきかを明確にし、迅速かつ効果的な対応ができる体制を整えることで、被害の拡大を防ぎ、復旧までの時間を短縮できます。
GitHubセキュリティベストプラクティスの適用
GitHubのようなプラットフォームを利用する際には、GitHubが提供するセキュリティベストプラクティスを徹底して適用します。これには、リポジトリの適切な権限設定、シークレット管理、コードスキャン機能の活用、そしてGitHub Actionsなどのワークフローにおけるセキュリティ設定の強化が含まれます。
今回のインシデントが業界に与える影響
GrafanaのGitHub侵害は、ソフトウェア開発業界全体に大きな警鐘を鳴らすものです。特に、オープンソースプロジェクトへの信頼性、クラウドセキュリティへの意識、そして開発プロセスにおけるセキュリティの重要性について、再考を促すきっかけとなるでしょう。
オープンソースソフトウェアは、現代のデジタルインフラの根幹をなしていますが、その脆弱性が悪用されることで、広範な被害が生じるリスクが常に存在します。今回の事例は、オープンソースプロジェクトのセキュリティ強化と、それを活用する企業側の厳格なリスク評価の必要性を改めて強調しています。
また、クラウドベースの開発プラットフォーム、特にGitHubのようなサービスが攻撃の標的となることで、クラウドセキュリティの重要性が一層高まります。企業は、自社が利用するクラウドサービスのセキュリティ機能だけでなく、その設定や運用方法にも細心の注意を払う必要があります。
さらに、この動きは、GitHub自体も内部リポジトリへの不正アクセスを調査していると発表したタイミングと重なっています。これは、サプライチェーン攻撃が単一の企業だけでなく、その基盤となるプラットフォーム全体に影響を及ぼす可能性を示唆しており、業界全体での協力と情報共有を通じたセキュリティ強化が喫緊の課題となっています。
まとめ
Grafana LabsのGitHub環境がTanStack npmサプライチェーン攻撃によって侵害され、ソースコードや内部情報が流出した今回の事態は、デジタル社会におけるセキュリティの脆弱性を浮き彫りにしました。幸い、顧客の生産システムへの直接的な影響は限定的とされていますが、見落とされたワークフローのトークンが悪用された経緯や、身代金要求を拒否しセキュリティ強化に努めたGrafanaの対応は、多くの企業にとって貴重な教訓となります。
npmエコシステムを介したサプライチェーン攻撃は、今後も主要な脅威であり続けるでしょう。企業は、最小権限の原則、多要素認証、定期的なセキュリティ監査、そして強固なインシデント対応計画の策定を通じて、自社の開発環境とサプライチェーン全体のセキュリティ体制を抜本的に見直す必要があります。今回の事例を機に、開発者コミュニティと企業が一体となり、より安全なソフトウェアエコシステムの構築に向けた取り組みを加速させることが求められます。
情報元:The Hacker News
