Crimson Collectiveと名乗るサイバー犯罪グループが、Red Hatコンサルティング部門のGitLabインスタンス侵害後、Scattered Lapsus$ Huntersと連携した。
Scattered Lapsus$ HuntersはScattered Spider、Lapsus$、Shiny Huntersのメンバーで構成される集団で、夏のSalesforce侵害キャンペーンの犯行声明を出している。Crimson Collectiveは28,000のリポジトリを侵害し、コードと顧客エンゲージメントレポートを盗んだと主張している。
週末にScattered Lapsus$ HuntersのダークウェブリークサイトにRed Hatが追加され、圧縮して570 GBのデータが記載された。侵害は9月半ばに発生し、10月10日が身代金支払いの期限とされている。Rapid7は9月にCrimson CollectiveによるAWS環境を標的とした2件の攻撃を観測した。
攻撃者はTruffleHogというオープンソースツールを使用して漏洩したAWS認証情報を発見し、データを流出させた後に恐喝メモを送りつけた。
From: 
Red Hat Hackers Team Up With Scattered Lapsus$ Hunters
【編集部解説】
今回の事案で最も注目すべきは、サイバー犯罪組織の連合化という新たな脅威の形が明確になった点です。Crimson Collectiveという新興グループが、既に悪名高いScattered Lapsus$ Huntersという大規模な犯罪集団と手を組んだことで、攻撃のインフラと専門知識が共有される環境が整いつつあります。
特に懸念されるのは、Red Hatコンサルティング部門から盗まれた顧客エンゲージメントレポートの内容です。これらには企業のインフラ詳細やアクセストークンといった極めて機密性の高い情報が含まれており、被害はRed Hat単体にとどまらず、同社の顧客企業へと連鎖的に広がる可能性があります。実際にCrimson Collectiveは、盗んだ情報を使って少なくとも1つの顧客組織を侵害したと主張しています。
技術的な観点から見ると、Red HatコンサルティングがGitLab Community Editionの無料版を使用していたという事実は重要です。エンタープライズレベルのセキュリティ対策が不足していた可能性が示唆されています。
さらにRapid7のレポートが示すように、Crimson CollectiveはAWS環境においても活動を活発化させています。TruffleHogというオープンソースツールを使った認証情報の発見、長期アクセスキーの悪用、過度に寛容なIAM設定の悪用といった手法は、多くの企業が見落としがちなクラウドセキュリティの盲点を突いています。
この事案が示す長期的な影響は、サイバー犯罪の組織化と専門化の加速です。かつては個別に活動していたグループが連合を組むことで、攻撃の規模と洗練度が飛躍的に向上しています。Scattered Lapsus$ Huntersが先月「活動終了」を宣言しながら実際には拡大を続けているという事実は、法執行機関による取り締まりの難しさも浮き彫りにしています。
企業にとっては、サプライチェーン全体のセキュリティ見直しが急務となります。特にコンサルティング会社や開発パートナーが保持する自社の機密情報が、どのように管理されているかを確認する必要があります。
【用語解説】
Scattered Lapsus$ Hunters
Scattered Spider、Lapsus$、Shiny Huntersという3つの悪名高いハッカーグループのメンバーで構成される連合体。2025年夏のSalesforce大規模侵害キャンペーンで犯行声明を出し、vishingなどのソーシャルエンジニアリング手法を駆使する。
Crimson Collective
2025年に出現した新興のサイバー犯罪グループ。恐喝型ランサムウェアグループを自称し、Red HatコンサルティングのGitLabインスタンス侵害で注目を集めた。AWS環境も標的としている。
GitLab Community Edition
GitLabが提供する無料のオープンソース版バージョン管理システム。セルフマネージド型で、企業が自社サーバーで運用する。有料版と比較してセキュリティ機能が限定的である。
Vishing(ビッシング)
Voice(音声)とPhishing(フィッシング)を組み合わせた造語。電話を使ったソーシャルエンジニアリング攻撃で、従業員になりすまして認証情報を盗み取る手法。
TruffleHog
コードリポジトリやファイルシステム内に埋め込まれた認証情報やAPIキーなどの秘密情報を検出するオープンソースツール。本来はセキュリティ監査用だが、攻撃者も悪用する。
IAM(Identity and Access Management)
クラウド環境におけるユーザーのアイデンティティ管理とアクセス権限の制御システム。AWSなどで過度に寛容な設定が攻撃の入り口となることが多い。
顧客エンゲージメントレポート(CER)
コンサルティング企業が作成する顧客プロジェクトの詳細記録。インフラ構成、アクセストークン、セキュリティ設定など機密性の高い技術情報が含まれる。
ダークウェブリークサイト
サイバー犯罪者が盗んだデータを公開し、被害企業を恐喝するために使用する匿名性の高いウェブサイト。身代金の支払期限や盗難データのサンプルを掲載する。
【参考リンク】
Red Hat公式サイト(外部)
オープンソースソリューションを提供する世界的なエンタープライズソフトウェア企業のウェブサイト
GitLab公式サイト(外部)
DevOpsプラットフォームを提供する企業のサイト。バージョン管理やCI/CD機能を統合
Rapid7公式サイト(外部)
サイバーセキュリティソリューションを提供する企業。脅威インテリジェンスサービスを展開
AWS公式サイト(外部)
Amazonが提供する世界最大規模のクラウドコンピューティングプラットフォーム
Dark Reading(外部)
サイバーセキュリティ分野の専門メディア。脅威インテリジェンスやデータ侵害情報を提供
【参考記事】
Red Hat GitLab Data Breach: The Crimson Collective’s Attack(外部)
GitGuardianによる技術分析。侵害手法と570GBデータ窃取の経緯を詳述
Trinity of Chaos: The LAPSUS$, ShinyHunters, and Scattered Spider Alliance(外部)
Resecurityによる包括的レポート。3つのハッカーグループ連合の実態を分析
Crimson Collective: A New Threat Group Observed Operating in the Cloud(外部)
Rapid7による脅威分析。AWS攻撃の具体的手法とTruffleHog悪用を解説
Red Hat data breach escalates as ShinyHunters joins extortion(外部)
BleepingComputerの続報。Shiny Hunters参加による事態のエスカレーションを報告
Reviewing the Red Hat Security Incident – Crimson Collective Breach(外部)
Anomaliによるインシデント分析。GitLab無料版の脆弱性と対策不足を検証
【編集部後記】
サイバー犯罪グループの連合化が進む今、私たちが日常的に利用しているクラウドサービスやコンサルティング企業が管理する自社データは本当に安全でしょうか。今回の事案を通じて、皆さんの組織ではパートナー企業がどのようなセキュリティ対策を講じているか確認されたことはありますか。
特に無料版のツールを使用している場合、どこまでのセキュリティレベルが担保されているのか、IAM設定や認証情報の管理は適切か、一度立ち止まって見直してみる価値があるかもしれません。サイバーセキュリティは他人事ではなく、私たち一人ひとりが意識を持つことから始まります。
