株式会社CAMPFIREは6月2日、4月3日に公表した同社システム管理用GitHubアカウントへの不正アクセスについて、調査結果を発表した。
同社では4月3日に、同社のシステム管理に使用しているGitHubアカウントへの不正アクセスを検知し、詳細調査を進めた結果、顧客情報を管理するシステムの一部で個人情報が漏えいした可能性が判明しており、4月21日に外部の専門機関に支援を要請し、調査を進めていた。
外部専門機関及び同社による調査の結果、漏えいの可能性がある情報は下記の通り。4月27日に公表した対象ユーザーのユニーク件数 225,846件に変更はないが、集計の精査で一部内訳に変動がある。
・2026年4月9日までにCAMPFIREを利用したプロジェクトオーナー、コミュニティオーナーの一部
件数:108,784件
項目:氏名、住所、電話番号、メールアドレス、口座情報
・過去にCAMPFIREで支援した支援者のうち
2021年1月1日から2026年4月19日までにPayPal決済を利用した支援者
2022年1月3日から2023年4月24日までにこんど払いを利用した支援者
2022年1月6日から2026年3月5日までにCAMPFIREから口座送金の方法で返金を受け取った支援者
件数:118,010件
項目:氏名、住所、電話番号、メールアドレス、口座情報
・2025年3月5日までにCAMPFIREに登録したパートナー
件数:1,282件
項目:氏名
・上記どちらに該当するか不明(会員登録段階等)な人のうち2020年1月1日から2020年12月31日までにマイページの口座情報を編集した人
件名:10,521件
項目:口座情報
その他、同社の開発業務従事者に関する氏名およびメールアドレス413件についても、閲覧可能であった情報として確認している。
同社では対象となる顧客に対し、別途個別に通知を行っている。
また、外部専門機関によるフォレンジック調査により、下記の調査結果を受領しているが、同社では一部にログが取得されておらず、操作内容を直接確認できない領域が残っていることから、対象となる情報が閲覧された可能性を否定するには至らないものと判断している。
・特定のクラウド環境に保管されていた認証情報およびAPIキー、個人情報を含まない一部のデータファイル、ならびに当該クラウド環境におけるテーブル名および構成情報が、攻撃者に取得されたこと
・攻撃者による探索の過程で、個人情報を含む1件のデータがクエリ結果として出力されたこと
・一連の攻撃において、個人情報を含むデータファイルが外部へ転送されたことを示す痕跡は確認されず、本件攻撃は各種認証情報の取得を目的とするものであるとの見解
同社では本攻撃について、同社が利用するGitHub環境への不正アクセスを起点として発生しており、同社従業員が発行したGitHub認証情報が、従業員が個人開発で利用していたサーバ上に意図せずアップロードされ、第三者に不正利用されたことが判明しており、その後、攻撃者はGitHub上で閲覧可能となった情報をもとに、同社が社内業務で利用している特定のクラウド環境に関連する認証情報を探索・取得し、当該クラウド環境の一部管理領域に不正アクセスを行ったものと判断している。
なお同社が提供するサービスについては、不正アクセスが確認されたクラウド環境とは別の環境で運用しており、サービス提供基盤への不正利用や改ざんは確認されていない。
同社では、初動対応および体制強化で実施した安全確保措置に加え、セキュリティ管理を継続的に高度化するため、下記の6領域を中心に、認証情報管理、権限管理、情報管理、監視・検知、開発プロセス、コードセキュリティの強化を進めるとのこと。
1.秘密情報の管理強化
認証情報自体の発行を最小化し、意図せず外部に露出することを防ぐ。
仮に認証情報が露出した場合でも、迅速に検知・無効化できる状態を目指す。
2.権限・認証・認可の見直し
認証情報が漏えいした場合でも、影響範囲を最小化できる状態を目指す。
認証情報1つで広範囲な操作ができないよう、権限設計と認証方式を見直す。
3.情報の所在・配置ルールの監査
重要情報を重要情報として限定された範囲で扱い、それらがどこにあるかを把握・管理できる状態を目指す。
4.検知・防御の自動化とログ最適化
特定のクラウドサービスに閉じず、横断的に不正アクセスの早期検知・防御を行える状態を目指す。
AIの活用も含め、影響が拡大する前に異常を検知できる体制を整備する。
5.開発環境における防護柵強化
危険な操作や設定が本番環境・クラウド環境に反映される前に防ぐ仕組みを強化する。
6.コード脆弱性の早期検知体制
脆弱性の予防・検知・解消サイクルを確立し、継続的に管理できる体制を整備する。
