分析およびインタラクティブな視覚化を可能にするオープンソースアプリケーション「Grafana」を開発するGrafana Labsが、GitHub環境への不正アクセスを受けたことを明らかにしました。攻撃者は盗み出したデータを公開しない見返りに身代金を要求しましたが、Grafana Labsは身代金を支払わないことを表明しています。





Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt

https://thehackernews.com/2026/05/grafana-github-token-breach-led-to.html

Grafanaはサーバーやクラウドサービス、ネットワーク機器などから収集したデータをグラフやダッシュボードとして可視化するためのソフトウェアです。システム監視や障害検知、パフォーマンス分析などに広く利用されており、多くの企業やクラウドサービス事業者が採用しています。

そんなGrafanaを提供するGrafana Labsは2026年5月17日のXの投稿で、「最近、我々は不正な第三者がGrafana LabsのGitHub環境にアクセスするためのトークンを取得したことを発見しました。これにより、攻撃者が我々のコードベースをダウンロードすることが可能になりました」と明かしました。

GitHubトークンはソースコードの閲覧だけでなく、設定によってはコード変更やパイプラインへのアクセス、機密情報の取得などにも利用できるため、開発基盤を狙った攻撃で標的となることがあります。なお、Grafana Labsは「私たちの調査により、このインシデント中に顧客データや個人情報がアクセスされた形跡はなく、顧客システムや業務への影響を示す証拠も見つかっていません」と説明しているほか、攻撃が発覚してから速やかに認証情報の漏えいの原因を特定するフォレンジック分析を開始して侵害された認証情報を無効化して追加のセキュリティ対策を実施したとのことで、ソフトウェアの使用に問題はないと主張しています。





Grafana Labsによると、攻撃者は盗み出したコードベースの公開を防ぐために金銭を支払うよう要求してきたそうです。しかし、FBIがランサムウェアに関するページで「FBIはランサムウェア攻撃への対応として身代金を支払うことを推奨していません。身代金を支払ってもデータが返還される保証はありません。むしろ支払いをすることは、この種の違法行為を助長し、より多くの人が犯罪行為に関与する動機を提供するだけです」と指摘していることから、Grafana Labsは身代金を支払わないよう判断したと述べています。





Grafanaは2026年5月17日に「recently(最近)」と記載しているのみで、攻撃の発生時期や攻撃者がどれくらいの間アクセス可能な状態が続いていたかについては明らかにしていません。また、攻撃者の具体的な情報についてもGrafana Labsは言及しませんでした。サイバー攻撃を追跡するプラットフォームのHackmanacはサイバー犯罪グループの「Coinbase Cartel」が今回の事件の犯行声明を出していると述べており、観測日を2026年5月15日としています。