CAMPFIREの不正アクセス、従業員がGitHubの認証情報を個人開発サーバーへアップし不正利用される|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月04日更新日時: 2026年06月04日

2026年6月2日、株式会社CAMPFIREは2026年4月3日以来6報にわたって公表してきた不正アクセス事案について、外部専門機関によるフォレンジック調査完了（2026年5月30日）を受け、調査結果を公開しました。

今回の報告で確定した事実の核心は、攻撃の起点が「GitHub個人用アクセストークン（PAT：Personal Access Token）の流出」であり、そこから社内業務用クラウド環境の管理領域へ侵害が拡大したという2段階の連鎖攻撃の全容です。漏えいのおそれがある個人情報のユニーク件数は2026年4月27日公表分と同じ225,846件で変更はありませんが、内訳の集計精査により一部変動があります。

クレジットカード情報は含まれていません。現時点で漏えいした情報による二次被害は確認されていませんが、対象者は引き続きフィッシング・なりすましへの警戒が必要です。本記事では第一〜二報・第三報からの差分を中心に、フォレンジック調査で確定した事実・漏えいのおそれ件数の内訳・初動対応の詳細・再発防止策を解説します。

サマリー

2026年6月2日、CAMPFIREが不正アクセス事案の調査結果を公表。外部専門機関のフォレンジック調査は2026年5月30日に完了
攻撃の起点：GitHub個人用アクセストークン（PAT）の流出。該当従業員のGitHubアカウントを悪用した不審な操作として2026年4月3日未明に検知
侵害の拡大：GitHub→社内業務用クラウド環境（管理領域）への2段階の侵害連鎖。クラウド環境への不正アクセスは4月20日に検知
漏えいのおそれのある個人情報ユニーク件数：225,846件（4月27日公表から変更なし、内訳の一部は変動）
- プロジェクト/コミュニティオーナー：108,784件（口座情報含む：53,869件）
- 支援者：118,010件（口座情報含む：4,307件）
- パートナー：1,282件（氏名のみ）
- 不明カテゴリ（2020年に口座情報を編集した方）：10,521件
- 開発業務従事者：413件（氏名・メールアドレス）
クレジットカード情報は含まれない。現時点で二次被害は未確認
初動対応として該当従業員のGitHubアカウントの除外・認証情報の無効化・クラウドリソースの停止を実施。「今回と同様の発生原因に基づく事象については再発抑止のための対策を実施済み」

1 事案の経緯——4月3日の検知から5月30日のフォレンジック完了まで
2 フォレンジック調査が確定させた攻撃の全容——GitHub PAT流出→クラウド環境へ
3 漏えいのおそれ件数（確定版）——内訳の変動と225,846件の維持
4 再発防止策——「今回と同様の発生原因に基づく事象については対策実施済み」
5 対象者・情報システム担当者が取るべき対応
6 FAQ
7 参考情報

事案の経緯——4月3日の検知から5月30日のフォレンジック完了まで

CAMPFIRE公式報告に掲載された対応時系列をもとに、第一報から報告に至るまでの主要な出来事を整理します。

当サイトの第一・二報まとめ記事では4月3日の発覚から個人情報漏えいのおそれの判明（4月24日）まで、第三報記事ではクラウド環境への不正アクセス痕跡の確認（4月22日）を報じています。今回の報告（6月2日）は、5月30日に完了したフォレンジック調査の結果を踏まえた事案の総括です。

4月3日未明〜4月7日（GitHub侵害フェーズ）：GitHubリポジトリへの不審な操作を検知し調査を開始。該当アカウントの組織からの除外、認証情報の差し替え、コード脆弱性診断を即日実施しました。4月7日にはGitHub認証情報の漏えい原因を特定完了。4月14日に第二報を公表し、GitHubリポジトリ上で閲覧可能だった情報の特定が完了、個人情報保護委員会への報告と対象者への個別通知を開始しました。

4月20日〜4月27日（クラウド環境侵害フェーズ）：社内業務用クラウド環境での不正アクセスを4月20日に検知。不正利用されたアカウントとクラウドリソースを即時停止・無効化しました。4月22日に第三報（クラウド環境への不正アクセス痕跡）、4月24日に第四報（漏えい可能性範囲の特定・ユニーク225,846件・個人情報保護委員会続報提出）、4月27日に第五報（内訳の詳細）、4月28日に専用問い合わせ窓口を設置しました。

4月21日〜5月30日（フォレンジック調査フェーズ）：4月21日に外部専門機関へ支援要請。2026年5月30日にフォレンジック調査が完了し、今回の最告（6月2日）の根拠となっています。

フォレンジック調査が確定させた攻撃の全容——GitHub PAT流出→クラウド環境へ

今回の報告でとりわけ重要なのは、フォレンジック調査により攻撃の全容が法的・技術的に裏付けられた点です。

攻撃の起点：GitHub個人用アクセストークン（PAT）の流出

「調査の結果、弊社従業員が発行したGitHub認証情報が、従業員が個人開発で利用していたサーバー上に意図せずアップロードされ、第三者に不正利用されたことが確認されました。その後、攻撃者はGitHub上で閲覧可能となった情報をもとに、弊社が社内業務で利用している特定のクラウド環境に関連する認証情報を探索・取得し、当該クラウド環境の一部管理領域へ不正アクセスを行ったものと判断しております。

」と明確に記述しています。

4月14日公表の第二報時点での再発防止策として「個人用アクセストークンへの依存を見直し、権限を限定した認証方式への移行」が挙げられていたことからも、今回の侵害はGitHubのPAT（Personal Access Token）が流出・悪用されたものと確認されます。

PATはGitHub APIやリポジトリへのプログラムからのアクセスに使用される認証トークンです。

従来の「Classic PAT」は権限スコープが粗く、一度流出すると組織内の広範なリポジトリへのアクセスが可能になります。GitHubリポジトリの中に本番環境のクラウドアクセスキー・データベース接続情報・APIキーなどが含まれていた場合、攻撃者はGitHub侵害を足がかりにそれらのシークレットを取得し、次の段階でクラウド環境に侵入できます。

侵害の拡大：GitHub→クラウド管理領域への連鎖

GitHub側（4/3〜）とクラウド環境側（4/20〜）の対応が区分されており、2段階の侵害連鎖の構造が明確です。

GitHub側の初動対応として、該当従業員のGitHubアカウントを組織から除外して不正アクセスの入口を遮断し、不正利用された認証情報を無効化・更新、モニタリング体制を強化しました。クラウド環境側の初動対応として、不正利用された認証情報の無効化・更新と、不正に作成または操作されたクラウドリソースの停止・削除を実施しました。

この「GitHubに含まれていたクラウドアクセスキー経由で本番系システムへ侵害が拡大する」パターンは、日本国内外で繰り返し観測される典型的な攻撃チェーンです。同時期に発覚したマネーフォワードのGitHub不正アクセス事案（2026年5月1日公表）でも同様のPAT流出が報告されており、GitHubを使用する組織全体への警鐘となっています。

漏えいのおそれ件数（確定版）——内訳の変動と225,846件の維持

確定データを整理します。ユニーク件数225,846件は4月27日公表から変更なし。ただし集計精査により内訳に変動があります。

プロジェクトオーナー・コミュニティオーナー（108,784件）は、2026年4月9日までにCAMPFIREを利用したオーナーの一部が対象で、氏名・住所・電話番号・メールアドレス・口座情報が含まれます。うち口座情報を含むものが53,869件、含まないものが54,915件です。プロジェクトオーナーは調達した資金を受け取るために口座情報をCAMPFIREに登録しており、口座情報が漏えいのおそれの対象に含まれることから、フィッシングや口座詐欺に対する特別な注意が求められます。

支援者（118,010件）は以下の3条件のいずれかに該当する方が対象です。

2021年1月1日から2026年4月19日までにPayPal決済をご利用の方、2022年1月3日から2023年4月24日までにこんど払いをご利用の方、2022年1月6日から2026年3月5日までにCAMPFIREから口座送金の方法で返金を受け取った方です。氏名・住所・電話番号・メールアドレス・口座情報が含まれ、口座情報を含むものが4,307件です。

パートナー（1,282件）は2025年3月5日までにCAMPFIREに登録された方で、氏名のみが対象です。不明カテゴリ（10,521件）は2020年1月1日から2020年12月31日までにマイページの口座情報を編集された方で、口座情報のみが対象です。このカテゴリはプロジェクトオーナー・支援者のいずれかに該当するかが不明な会員登録段階等の方です。

また開発業務従事者413件（氏名・メールアドレス）についても、GitHubリポジトリ上で閲覧可能であった情報として確認されています。

なお今回の報告では「漏えいのおそれがある情報」という表現を一貫して使用しており、実際に情報が外部流出したことを直接確認したとは述べていません。

口座情報については「口座情報のみで直接現金を引き出したり振り込みを行ったりできるものではない」としていますが、氏名・住所・電話番号と組み合わせた詐欺行為（架空請求・なりすまし等）に悪用される可能性は排除できません。

再発防止策——「今回と同様の発生原因に基づく事象については対策実施済み」

「今回と同様の発生原因に基づく事象については再発抑止のための対策を実施済みです」と明記しています。具体的な措置の概要は以下のとおりです。

GitHub側では、「個人用アクセストークンへの依存を見直し、権限を限定した認証方式への移行」（第二報時点）とコード脆弱性診断の実施、高権限システムユーザーの権限整備が行われました。クラウド環境側では不正に作成または操作されたクラウドリソースの停止・削除と認証情報の無効化・更新が完了しています。

PATに代わる認証方式としては、GitHub Actions OIDC（OpenID Connect）を使ったクラウドプロバイダーへの一時的な認証情報の発行や、権限スコープを細かく設定できるFine-grained PATへの移行が業界のベストプラクティスとして推奨されています。

対象者・情報システム担当者が取るべき対応

対象者として個別通知を受け取った方は、CAMPFIREのパスワードを変更するとともに同一パスワードを他のサービスで使いまわしている場合は同様に変更してください。特に口座情報が漏えいのおそれに含まれる方は、銀行口座の取引明細を定期的に確認し、不審な入出金がないかを監視してください。フィッシングメール・なりすまし電話・架空請求書への注意も継続が必要です。

情報システム担当者として確認すべき組織的対応は、GitHubに蓄積されたClassic PAT（特に長期間・広権限のもの）の棚卸しとFine-grained PATへの置き換え、リポジトリへのシークレット（APIキー・データベース認証情報・クラウドアクセスキー）のコミットがないかのシークレットスキャン（GitHub Secret Scanning・Gitleaksなど）の実施、そしてGitHubのOrganization監査ログの定期確認体制の構築です。

FAQ

Q. 最終報告で「漏えいのおそれ」という表現が使われていますが、実際に情報は漏えいしたのですか？ A. 最終報告は一貫して「漏えいのおそれがある情報」という表現を用いており、情報が実際に外部流出したことを確認したとは述べていません。4月24日時点の報告でも「データファイルのダウンロードは現時点においては確認されていない」とされていました。フォレンジック調査の結果として不正アクセスの痕跡と閲覧可能であった情報の範囲は確定しましたが、実際の流出有無の断定には至っていません。対象者への安全配慮として情報が漏えいした可能性を念頭においた対応を呼びかけています。

Q. 今回の侵害でPATが悪用されたのはなぜですか？どう防げますか？ A. PATはGitHubへのプログラム的なアクセスに使われる認証トークンで、従来の「Classic PAT」は権限スコープが粗く（repo全体へのアクセスなど）、かつ有効期限なしで発行されることがあります。PATが流出した場合、攻撃者はそれを使ってリポジトリ内のソースコードやシークレットにアクセスできます。防止策として、Classicを廃止してFine-grained PAT（リポジトリ・権限・有効期限を細かく制限）への移行、OIDC認証によるクラウドサービスとの連携（一時的な認証情報を都度発行するため流出しても悪用しにくい）、GitHubのSecret Scanning機能の有効化が有効です。

Q. 今回の事案はGitHubを使っている他の組織にも同様のリスクがありますか？ A. あります。CAMPFIREの事案と同時期にマネーフォワードのGitHub不正アクセス事案（2026年5月1日公表）も発生しており、GitHubのPAT流出を起点とした侵害は業界全体の問題です。特に「GitHubリポジトリに本番環境のアクセスキーやパスワードがハードコードされている」状態は高リスクです。自組織のGitHubリポジトリに機密情報が含まれていないかをシークレットスキャンで確認することを推奨します。

Q. 口座情報が漏えいのおそれに含まれますが、何か特別な対策が必要ですか？ A. CAMPFIREは「口座情報のみで直接現金を引き出したり振り込みを行ったりできるものではない」と説明していますが、氏名・住所・電話番号・口座番号の組み合わせは、フィッシング詐欺・架空請求・振込詐欺に悪用される可能性があります。「CAMPFIRE（またはその関連企業名）」を名乗る不審な電話やメールには応答しないこと、銀行口座の定期的な取引確認が重要です。