チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「GitHubトークンが盗まれただけでコードベース全体が抜かれるって、どういうこと?」
「Pwn Requestって脆弱性、自社のGitHub Actionsにもありそうで心配…」
チップスボス、Grafana Labsがコードベースをまるごと盗まれたって本当でしゅか? 大きな話でしゅ…
ボスうむ、5月16日にGrafana Labsが公表した。原因はGitHub Actionsの「Pwn Request」型ワークフロー欠陥で、トークン回転の漏れから侵害に至った。
本記事ではGrafana Labsのソースコード窃取事案と、原因となった「Pwn Request」型GitHub Actionsの脆弱性、自社GitHub環境で取るべき対策を解説します。
OSSベンダーに限らず、CI/CDで外部PRを処理するすべての組織が確認すべき内容です。
続きを読めば、Pwn Request型欠陥の見極め方と、トークン管理の落とし穴、現実的な恐喝対応の指針が分かります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
GitHub Actionsには、外部コントリビューターからのPRを安全に扱う仕組みがあります。
その仕組みを誤って使うと、外部の人が本番秘密にアクセスできる状態を作ってしまいます。
事案の発端は、新たに導入されたGitHub ActionワークフローでのPwn Request型脆弱性です。
pull_request_targetイベントは、PR作成元(外部のフォーク)が信頼できない場合でも本リポジトリの秘密にアクセスできる仕組みで、設定を誤ると外部コントリビューターにシークレットを渡してしまいます。
Grafana Labsはこの不具合を検知してGitHubワークフロートークンの多くを回転させましたが、1つだけ漏れた古いトークンが攻撃者の手に渡り、リポジトリ全体のダウンロードを許しました。
事案の主要な事実関係はこちらです。
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年5月16日(Grafana Labs) |
| 原因 | GitHub Actionsの「Pwn Request」型ワークフロー脆弱性 |
| 影響範囲 | GitHub環境内のソースコード(公開・非公開リポジトリ) |
| 顧客本番環境 | 影響なしと発表 |
| 主張する攻撃集団 | CoinbaseCartel(ShinyHunters/Scattered Spider/LAPSUS$系統) |
Grafana Labsは、社内に大量のカナリアトークン(おとり用の偽トークン)を仕込んでおり、攻撃者がそれを使った瞬間にグローバルセキュリティチームへアラートが届く設計でした。
結果として侵害発生から短時間で検知に成功し、被害範囲をGitHub環境内に封じ込められた点は評価に値します。
本番システムへの横展開を防いだのは、こうした「ハニートークン的な仕組み」と、トークン分離の運用が機能したためです。
チップスカナリアトークンって便利でしゅね! おとりを仕込んでおくと侵害がすぐ分かるんでしゅか。
ボスうむ、コストも低い割に効果が高い。GitHub・S3・KMSなどに撒いておくのが定石だ。
Grafana Labsの事案は、技術的な原因も対処方針も学びの多い内容です。
同種の侵害を避けるために、現実的な手を整理しましょう。
pull_request_targetイベントを使うワークフローは、外部コントリビューターのコードを取り込んで実行する設計になっていないかを再点検する必要があります。
該当する場合は、外部から渡されたコードを「実行せず」「内容だけ確認する」フローへ作り直すべきです。
GITHUB_TOKEN以外の長期秘密(Personal Access TokenやServiceアカウント)を使っている箇所は、最小権限の見直しと定期回転を機械的に行う仕組みに置き換えるのが安全です。
運用に組み込むべき点を整理します。
Grafana Labsは身代金の支払いを拒否し、「データが本当に削除される保証はなく、将来の攻撃を呼び込む契機にもなる」と公開で説明しました。
こうした姿勢は、平時から「支払わない」方針と説明責任の枠組みを合意しておかなければ、いざという時に取れません。
法務・広報・セキュリティを巻き込んだ意思決定プロトコルを事前に文書化し、定期的に演習しておく価値があります。
チップス「払いません」って即答できる体制って、なかなか難しそうでしゅね…
ボスうむ、判断のスピードが企業姿勢を決める。事前の合意が、当日の判断を支える。
Grafana Labsのケースは、OSSベンダーだから起こったというよりも、CI/CDが現代の攻撃面であることを改めて示しました。
自社で取るべき行動を整理します。
チップスCI/CDも守るべき情報資産って意識を持たなきゃでしゅね!
ボスうむ、コードはビジネスそのものだ。雑に扱えば失う。
詳しい情報はBleepingComputerの報道とGrafana Labsの公式声明を参照してください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
