概要
レッドハットは、同社のコンサルティング事業に関連するセキュリティインシデントが発生したことを認めました。これは、「Crimson Collective」と名乗るハッカー集団が、レッドハットのプライベートGitHubリポジトリを侵害し、大量の機密データを窃取したと主張したことを受けてのものです。
侵害の詳細と盗まれたデータ
ハッカー集団は、約28,000の内部プロジェクトから圧縮データで約570GBを窃取したと主張しています。この中には、顧客のネットワークやプラットフォームに関する機密情報が含まれる約800件の「顧客エンゲージメントレポート(CER)」が含まれているとされています。CERには、インフラの詳細、設定データ、認証トークンなど、顧客ネットワークへの侵害に悪用されうる情報が含まれる可能性があります。
Crimson Collectiveは、レッドハットのコードやCERsから認証トークンや完全なデータベースURIなどのプライベート情報を見つけ出し、これらを利用して下流の顧客インフラにアクセスしたと主張しています。彼らは、窃取したGitHubリポジトリの完全なディレクトリリストと、2020年から2025年までのCERsのリストをTelegramで公開しました。
レッドハットの対応と声明
レッドハットは、コンサルティング事業に関連するセキュリティインシデントを認識しており、必要な修復措置を開始したと述べています。しかし、同社はハッカー集団によるGitHubリポジトリや顧客CERsに関する主張のいずれも確認していません。
レッドハットは、「現時点では、このセキュリティ問題が当社の他のレッドハットサービスや製品に影響を与えているとは考えておらず、当社のソフトウェアサプライチェーンの整合性には非常に自信を持っています」とコメントしています。
影響を受ける可能性のある組織
公開されたCERsのディレクトリリストには、広範な分野の著名な組織が含まれており、その中には以下の例が挙げられます。
- Bank of America
- T-Mobile
- AT&T
- Fidelity
- Kaiser
- Mayo Clinic
- Walmart
- Costco
- 米国海軍海上戦センター
- 連邦航空局
- 下院
これらの組織の機密情報が流出した可能性があり、広範囲にわたる影響が懸念されます。
ハッカーの行動と過去の活動
ハッカー集団は、レッドハットに恐喝要求を試みましたが、脆弱性報告の提出を指示する定型的な返信しか得られなかったと述べています。彼らが作成したチケットは、レッドハットの法務およびセキュリティ担当者を含む複数の人物に繰り返し割り当てられたとのことです。
また、このCrimson Collectiveは、先週、任天堂のトピックページを一時的に改ざんし、連絡先情報とTelegramチャンネルへのリンクを含ませたことについても責任を主張しています。