2025年10月、ハッカーグループ Crimson Collective は、Red Hat(レッドハット)へ不正アクセスし内部 Git リポジトリ 2万8千件から圧縮で約570GBのデータを盗み出したと主張しました。
さらに ShinyHunters/Scattered Spider/Lapsus$ とも称される「Scattered Lapsus$ Hunters」との連携を強調し、現在、顧客向けコンサル資料(CERs)や各種トークン、インフラ構成情報を公開すると脅迫しています。

概要
元々Red Hat(レッドハット)にはCrimson Collective として知られるハッキンググループが、28,000 の社内開発リポジトリから 570GB 近くの圧縮データを盗んだと主張しました。
その後Crimson Collectiveはハッカーグループ、ハッカーグループ Scattered Lapsus$ Hunters(別名:ShinyHunters、Scattered Spider、Lapsus$)と提携し、同グループ ダークウェブ上のリークサイトでRed Hat(レッドハット)への犯行声明と一部機密情報とされる情報のサンプルを公開しました。
なお、ハッカーグループ Scattered Lapsus$ Huntersはほぼ同時期にシスコ,トヨタ,富士フイルム,GoogleなどのSalesforceへ不正アクセスによるサイバー攻撃を主張しています

犯行声明(和訳)
本メッセージは、Red Hat, Inc. が侵害を受け、重大な情報セキュリティおよび知的財産のセキュリティ侵害に直面していることを正式に通知するものです。
28,000以上のGitリポジトリが侵害され、持ち出されました。最も機微な知的財産の複数テラバイト規模のデータを取得しています。圧縮しても570GBで、あなた方の失策による時限爆弾のようなものです。
さらに、以下が含まれます:
クライアントの CERs、Red Hatのコンサルタントがクライアント向けに作成したコンサルティング資料、多くのフォルダに含まれるクライアントの秘匿情報(Artifactoryのアクセス・トークン、Gitトークン、Azure、Docker〔Red Hat Docker、Azure Containers、Docker Hub〕)、CERs内のクライアントのインフラ詳細(実施された監査など)――などが多数。
当方が取得した処理済みデータには、多くの知的財産および情報セキュリティに関するデータが含まれます。当方の保有下にある以上、貴社はGDPR第33~34条、CCPAおよび1798.82条等に基づく越境的な法的リスクと賠償責任に直接さらされています。
当方が持つその他のデータには戦略的価値があり、公開されれば Red Hat, Inc. の市場での地位が損なわれる可能性があります。
具体的には、当方が保有するデータのうち5,763のディレクトリに CONFIDENTIALITY.md が存在します。つまり、当方がこれらすべてのデータを公開した場合、5千以上の主体のCERsが危険にさらされる可能性があります。
====================================
明示的にマークされた CONFIDENTIALITY.md の量を鑑みれば、その内容は現行の営業秘密法の下で制限情報として法的に位置づけられます。これらの CERs には、認証情報、環境変数、アーキテクチャ、コード、内部設計、ネットワークへの不正アクセスを許し得る情報など、機密の事業・企業データが含まれていることが明らかであり、Red Hat はそれらを適切に保護できていません。貴社は、これら営業秘密の秘匿性を保持するという最重要の責務を果たせませんでした。これらのファイルは、EU指令2016/943、米国法18 U.S.C. §1836、UTSA(統一営業秘密法)に基づく保護の要件を明確に満たす制限を主張しています。いずれも営業秘密に関する法律・指令です。
さらに、これらの CERs には一定の個人データも含まれているため、Red Hat はGDPR第32/33/34/82条の下でデータ処理者として責任を負います(とりわけ、処理に伴うリスク――特に送信・保存・その他の処理が行われる個人データの不正開示・不正アクセス――を考慮して適切なセキュリティ水準を評価すること)。Red Hat, Inc. はまた、CCPA/CPRA、FTC などの規制体制の下でも法的リスクにさらされています。
貴社/Red Hat, Inc. は、NDA、DPA(GDPR第28条) 等に基づく契約違反の直接責任にも直面し得ます。
これらのリポジトリの秘匿性を保持するための技術的・組織的対策は確認されませんでした。影響を受けたデータには、規制対象機関に直接関わる情報が含まれており、例えば Citigroup、JPMorgan Chase、HSBC、Merrick Bank、Siemens、Bosch、Verizon、Telefónica、Telstra、および米上院への言及などが含まれます。これは民間・公共の双方の運用上のセキュリティおよびコンプライアンス義務に関係します。
当方の要求――例えば2025年10月10日までに当方へ連絡し解決に向けて動くこと――を満たさない場合、最終的に侵害データをすべて公開し、前述のあらゆる結果のエスカレーションに直面することになります。予防措置を講じていなかったため、貴社はその対応に多大な労力を費やすことになるでしょう。
また次のニュースの見出しになりますか?
ご存じのとおり、これらは非常に容易かつ迅速に回避できます。
要求に従う場合、当方は貴社顧客(CERs)のさらなる個別交渉には関与しません。当方にはそのための資金・支援・資源がありますが、貴社からの単純な解決を求めています。貴社が支払えば、顧客は当方から攻撃や身代金要求を受けません。貴社が当方と交渉に応じる場合、この点についてさらに詳細な説明が可能です。








