2025年10月、Red Hat(レッドハット)は、コンサルティング部門で使っている特定の自社運用GitLabインスタンスに不正アクセスが発生したと公表しました。発見直後にアクセス遮断と環境の隔離、当局への連絡、追補的なハードニングを実施しています。
一方で「Crimson Collective」を名乗る脅迫グループは、圧縮で約570GB、2.8万超の内部リポジトリを盗み出し、約800件のCustomer Engagement Report(CER)を含むと主張しています。
関連記事:ハッカーがRed Hat(レッドハット)へのサイバー攻撃と不正アクセスを主張
盗まれた可能性のある情報
攻撃者の主張が事実であれば、流出した可能性があるのはコンサル案件向けのCERや内部リポジトリです。CERには顧客環境の構成や設定、運用手順、場合によっては認証トークンや接続文字列などが含まれることがあり、内部リポジトリにはサンプルコードや連携スクリプト、設定例、プロジェクト仕様、社内のやり取りといった実務情報が残っていることがあります。
攻撃者はTelegramでリポジトリとCERの一覧を公開し、金融・通信・医療・流通・政府機関など著名組織の名を挙げていますが、これらの真偽については調査中です。
CERやリポジトリの中に秘匿すべき情報が残っていた場合、それ自体が第三者の不正接続や権限昇格、横展開の起点になり得ます。さらに、顧客ごとの運用手順や組織特有のクセといった踏み込み情報が攻撃者の標的型攻撃の精度を高め、サプライチェーン経由の精密な攻撃に発展する余地も否定できません。
直接的なシステム侵害だけでなく、ソーシャルエンジニアリング的な二次被害にも備えが必要です。
Red Hatの発表(要点)
侵入が確認されたのは、コンサル部門の共同作業に用いていた自社運用のGitLab(Community Edition)であり、検知後は第三者のアクセスを排除してインスタンスを隔離、追加の防御策を施したと説明しています。
他のRed Hat製品・サービスや公式配布物の整合性に問題は見つかっておらず、ソフトウェア供給網にも影響はないとの見解です。影響はコンサル顧客に限定される見込みで、対象となる顧客には個別に情報提供を行います。なお、SaaSのGitLabが侵害されたわけではなく、あくまでRed Hat側の自社運用環境に限られる点も明確にしています。
参照
Red Hat confirms security incident after hackers breach GitLab instance
Security update: Incident related to Red Hat Consulting GitLab instance








