世界最大級のITコンサルティング企業であるAccentureが、サイバー犯罪フォーラムに投稿された犯行声明を受け、不正アクセスがあったことを確認しました。ハンドルネーム「888」を名乗る脅威アクターは2026年7月6日、約35GBのソースコードやAzure関連の認証情報を窃取したと主張し、盗んだとするデータの販売を持ちかけています。Accentureは本稿執筆時点で、被害の具体的な範囲や侵入経路については明らかにしていません。
サマリー
- ハンドルネーム「888」を名乗る脅威アクターが2026年7月6日、サイバー犯罪フォーラム上に「Accenture Data Breach」と題した投稿を行い、2026年7月にAccentureから約35GBのソースコードを窃取したと主張した
- 主張されている窃取データには、ソースコードのほか、RSA鍵、SSH鍵、Azureの個人用アクセストークン(PAT)、Azure Storageのアクセスキー、各種設定ファイルが含まれるとされる
- 脅威アクターは主張の裏付けとして、Azure DevOps上の「121123_AtriasTalentAcademy」という名称のリポジトリを、一部が伏せられたaccenture.comのドメイン上でクローンした様子とみられるスクリーンショットを公開している
- Accentureは複数の海外メディアの取材に対し、この事案を認識しており発生源への対処(修復)を完了したこと、Accentureの事業運営やサービス提供への影響はないことをコメントとして説明したが、データ窃取の規模や具体的な内容、侵入の経緯、顧客データへの影響の有無については言及していない
- 同じ脅威アクターは2024年6月にも、Accentureに関連する第三者経由の侵害を主張し、従業員データの販売を試みたことがある。この際Accentureは、主張された3万2,826人規模のデータのうち実際に該当したのは3人分の氏名とAccentureのメールアドレスのみだったと反論している
- Accentureは2021年8月にも、ランサムウェアグループLockBitによる攻撃でデータを窃取される被害を受けている
| 項目 | 内容 |
|---|---|
| 公表・投稿日 | 2026年7月6日(脅威アクターによるフォーラム投稿) |
| 対象企業 | Accenture(米ITコンサルティング大手、従業員70万人超) |
| 主張する脅威アクター | ハンドルネーム「888」 |
| 主張されている被害規模 | 約35GB |
| 主張されている窃取データ | ソースコード、RSA鍵、SSH鍵、Azure PAT、Azure Storageアクセスキー、設定ファイル |
| 裏付けとして示された情報 | Azure DevOpsリポジトリ「121123_AtriasTalentAcademy」のクローン操作とみられるスクリーンショット |
| Accentureの公式コメント | 「この個別の事案を認識しており、発生源への対処を完了した。事業運営・サービス提供への影響はない」 |
| 同一の脅威アクターによる過去の主張 | 2024年6月、Accenture従業員データ(3万2,826人規模と主張、実際は3人分とAccentureは反論)の販売を試行 |
| Accentureの過去の被害 | 2021年8月、ランサムウェアグループLockBitによる攻撃 |
何が起きたか
「888」を名乗る脅威アクターは2026年7月6日、サイバー犯罪フォーラム上に「Accenture Data Breach」と題した投稿を行いました。


投稿内容によれば、2026年7月にAccentureから約35GBのソースコードが窃取されたとされ、このデータの販売が持ちかけられています。主張されている窃取データの内訳は、ソースコードに加えて、RSA鍵、SSH鍵、Azureの個人用アクセストークン(PAT)、Azure Storageのアクセスキー、各種設定ファイルです。この脅威アクターは主張の裏付けとして、Azure DevOps上の「121123_AtriasTalentAcademy」という名称のリポジトリを、一部が伏せられたaccenture.comに関連するドメイン上でクローンした様子とみられるスクリーンショットを公開しています。
Accentureは当初、一部メディアの取材に対し現時点でサイバー攻撃を認識していないと回答していましたが、翌日になって不正アクセスがあったことを認めました。同社の広報担当者は複数の海外メディアに対し、この個別の事案を認識しており、発生源への対処(修復)はすでに完了していること、そしてAccentureの事業運営やサービス提供への影響はないという趣旨のコメントを行っています。
一方で、実際に窃取されたデータの量や具体的な内容、攻撃者がどのようにして環境へ侵入したのか、顧客企業のデータへの影響があったかどうか、日本企業への影響なども本稿執筆時点で明らかにされていません。
過去にも繰り返されてきた同一脅威アクターによる主張
今回主張を行った「888」という脅威アクターは、Accentureを標的にした主張を行うのが今回が初めてではありません。
この脅威アクターは2024年6月にも、社内のビデオ会議ツール「Media Exchange」を経由した第三者侵害を主張し、現従業員・元従業員あわせて3万2,826人分のデータを販売しようとしたとされています。
この際Accentureは、実際に該当していたのはわずか3人分の氏名とAccentureのメールアドレスのみであり、主張は大きく誇張されていたと反論しています。
また、この脅威アクターは過去にDecathlon、Credit Suisse、Shell、Heineken、UNICEFといった他企業・団体への侵害も主張してきたとされています。あわせて、Accentureは2021年8月にも、ランサムウェアグループLockBitによる攻撃でデータを窃取される被害を確認済みです。今回の主張についても、過去の経緯を踏まえると、内容が誇張されている可能性を含めて慎重に受け止める必要があるとの指摘が複数のメディアで示されています。
セキュリティ専門家が指摘するリスク
今回の事案について、セキュリティ企業Corsica TechnologiesのCISOであるRoss Filipek氏は、主張通りのデータが本物だった場合、コードの脆弱性や認証情報、インフラ構成の情報が、将来の攻撃の手引きとして悪用されうる点を懸念材料として挙げています。
同氏は、Accentureのような大手コンサルティング企業は、クライアント企業のクラウド環境やID管理の仕組み、コードベースといった重要なシステムの近くに位置していることが多いため、攻撃者にとって魅力的な標的になり続けていると説明しています。
複数の海外メディアも、SSH鍵やAzureの認証情報は他のシステムへの認証をそのまま通してしまう可能性があり、設定ファイルは本番環境の構成を、ソースコードはクライアントのシステムがどう構築されているかを、それぞれ攻撃者に明かしてしまう恐れがあると指摘しており、これらが組み合わさることで攻撃者に実質的な「攻撃の設計図」を与えかねないとの見方を示しています。
Accenture自身は事業運営への影響はないとしていますが、クライアント企業の環境への影響の有無については確認が取れていない状態です。
情報システム部門への示唆
今回の事案は、Accentureのような大手ITサービス企業であっても、ソースコードや認証鍵の管理を狙った攻撃の標的になりうることを改めて示しています。自組織がAccentureをはじめとする大手コンサルティング・ITサービス企業と取引がある場合、直接の被害が確認されていない段階であっても、自社が提供・共有している認証情報やAPIキー、Azure等のクラウドリソースへのアクセス権限について、取引先経由での不正利用の可能性を念頭に置いた点検を行うことをお勧めします。
また、自組織がAzure DevOpsやGitHubなどのソースコード管理基盤を運用している場合、リポジトリ内にRSA鍵・SSH鍵・APIトークン・アクセスキーといった機密情報がハードコーディングされていないかを定期的に監査することが重要です。当サイトで以前紹介したAzureやAWS、Google CloudのCLIツールに存在した機密情報漏洩の脆弱性LeakyCLIのように、CI/CDパイプラインやログの中に認証情報が意図せず残留してしまうケースは珍しくありません。
定期的なシークレットスキャンの実施や、漏洩した可能性のある認証情報を速やかに失効・再発行できる体制の整備、そして最小権限の原則に基づいたアクセストークンの発行・管理を徹底することが、今回のような事案が実際に発生した際の被害範囲を最小限に抑えるうえで有効です。
出典
- Accenture confirms breach after hacker offers stolen data for sale – BleepingComputer
- Accenture confirms breach after hacker steals 35GB of source code and other data – TechRadar
- Accenture Confirms Data Breach After Hacker Claims Source Code Theft – SecurityWeek
- Accenture admits to ‘isolated matter’ after crook tries to flog alleged 35GB haul – The Register
- AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性LeakyCLIが発生 – セキュリティ対策Lab








