本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
クラウドファンディング大手のCAMPFIREは2026年6月2日、GitHubアカウントへの不正アクセスを起点に、対象ユーザーのユニーク件数で最大22万5846件の個人情報が漏えいしたおそれがある事案について、外部専門機関によるフォレンジック調査結果を公表した。原因は、従業員が発行したGitHub認証情報が個人開発用サーバーに意図せずアップロードされ、第三者に不正利用されたことだった。個人情報を含むデータファイルが外部へ転送された痕跡は確認されなかった一方、一部にログ未取得の領域があり、対象情報が閲覧された可能性は否定できないとしている。
GitHub認証情報の露出からクラウド環境侵入へ
CAMPFIREは4月3日未明、GitHubアカウントの一部リポジトリに対する不審な操作を検知した。4月20日には社内業務で利用する特定のクラウド環境で不正アクセスを検知し、5月30日に外部専門機関によるフォレンジック調査が完了した。
攻撃者は、個人開発用サーバーに意図せず置かれたGitHub認証情報を使い、GitHub上で閲覧可能となった情報を足掛かりにした。そこから社内業務用クラウド環境に関係する認証情報を探索・取得し、一部管理領域に不正アクセスしたとCAMPFIREは判断している。認証情報やAPIキーは、システムに入るための「鍵」に当たる情報であり、流出すれば別の環境への侵入に連鎖する危険がある。
フォレンジック調査では、特定クラウド環境に保管されていた認証情報とAPIキー、個人情報を含まない一部データファイル、テーブル名や構成情報が攻撃者に取得されたことが確認された。探索過程では、個人情報を含む1件のデータがクエリ結果として出力された。一方、個人情報を含むデータファイルが外部に転送された痕跡は確認されていない。漏えいのおそれがある対象ユーザーのユニーク件数は22万5846件で、氏名、住所、電話番号、メールアドレス、口座情報が含まれる場合がある。クレジットカード情報は含まれていない。
サービス基盤への改ざんは確認されず、再発防止策を整備へ
CAMPFIREが提供するサービスは、不正アクセスが確認されたクラウド環境とは別の環境で運用されており、サービス提供基盤への不正利用や改ざんは確認されていない。このほか、開発業務従事者に関する氏名とメールアドレス413件が閲覧可能だった情報として確認された。
同社は初動対応による安全性確保と、認証、監視、対応体制の強化を完了した。今後3か月で、認証情報の管理や権限設計、ログ監視、アラート対応、コードセキュリティを含む再発防止に必要な管理策の整備を進める方針だ。
今回の公表で、4月以降の続報では明確でなかった侵入経路と確認済みの痕跡が整理された。ただ、一部にログ未取得の領域が残るため、同社は個人情報が実際に閲覧された可能性を完全には否定できないと判断している。
