ランサムウェアの命名について

オスカー・ワイルドの言葉を借りれば、「模倣は最も誠実なお世辞」です。

「Prometheus」と「Thanos」という名前は、最近、あるランサムウェアグループによって使用されています。これについて私たちができることは、この事実を皆さんにお知らせすること以外にほとんどありません。皆さんができることも、この事実を認識すること以外にほとんどありません。

このグループが私たちのプロジェクトの偽のバイナリをダウンロードさせようと試みる、と考える理由はありませんが、それでも一般的なサプライチェーンとセキュリティの慣行に従うことをお勧めします。ソフトウェアをデプロイする際は、以下のいずれかの方法で行ってください。

• PrometheusおよびThanosの公式リリースページからバイナリをダウンロードし、提供されているチェックサムを検証する。
• 公式プロジェクトが管理するリポジトリからDockerをダウンロードする。
  • Prometheus: https://quay.io/repository/prometheus/prometheus および https://hub.docker.com/r/prom/prometheus
  • Thanos: https://quay.io/repository/thanos/thanos および https://hub.docker.com/r/thanosio/thanos
• 信頼できるディストリビューションから提供されるバイナリ、イメージ、またはコンテナを使用する。
• 社内のソフトウェア検証およびデプロイチームから提供されるバイナリ、イメージ、またはコンテナを使用する。
• 自分でソースからビルドする。

特定の出所とサプライチェーンを合理的に信頼できない限り、ソフトウェアを使用すべきではありません。

このランサムウェアグループが意図的に名前を選んだ可能性がゼロではないため、この記事を目にするかもしれません。もしそうなら、どうかやめてください。ランサムウェアも、この名前を選ぶことも。