2026年4月24日、クラウドファンディングサービスを運営する株式会社CAMPFIRE(キャンプファイヤー)は、同年4月3日に公表したGitHubアカウントへの不正アクセスによるサイバー攻撃の事案の続報として、顧客情報を管理するシステムの一部においてお客様の個人情報が漏洩した可能性があると発表しました。対象となるユニーク件数は最大225,846件に上り、うち口座情報を含む件数は82,465件です。クレジットカード情報は対象外としています。
この記事のサマリー
- 本件は2026年4月3日公表のGitHub不正アクセス事案の続報です。その後の詳細調査の結果、2026年4月21日にCAMPFIREのデータベースへのアクセスおよび内部処理の形跡が確認されました。現時点でデータファイルのダウンロードは確認されていませんが、あらゆる事態を想定した検証を継続しています。
- 漏洩の可能性がある情報の対象者はユニーク225,846件。プロジェクトオーナー120,929件(うち口座情報含む66,013件)、支援者130,155件(うち口座情報含む16,452件)、パートナー1,282件(氏名のみ)の3区分に分かれます。クレジットカード情報は含まれません。
- 漏洩した可能性のある情報は氏名・住所・電話番号・メールアドレス・口座情報です。現時点で情報の不正利用による被害は報告されていません。
- 対象者へは本日より順次、件名「【重要:CAMPFIRE】お客様情報漏えい可能性に関するお詫びとご報告」でメール送付が始まっています。
- 専用お客様相談窓口は2026年4月28日10時より設置予定です。個人情報保護委員会への報告および警察への相談を実施中で、外部専門機関と連携した調査が継続されています。
事案の経緯
本件はGitHub不正アクセス事案に端を発しています。
| 日時 | 内容 |
|---|---|
| 2026年4月3日 | GitHubアカウントへの不正アクセスを検知・公表 |
| 2026年4月3日以降 | データベースを直接の不正アクセス先として安全性確認を網羅的に実施 |
| 2026年4月21日 | データベースへのアクセスおよび内部処理の形跡を確認 |
| 2026年4月24日 | 個人情報漏洩の可能性について公表。対象者への個別メール送付を開始 |
| 2026年4月28日10時 | 専用お客様相談窓口の開設予定 |
リリースによれば、現在のところ対象データファイルのダウンロードは確認されていませんが、あらゆる事態を想定した上で情報漏洩の有無の確定に向けた検証を継続しています。
漏洩した可能性のある情報の詳細
| 対象者 | 漏洩の可能性がある情報 | 件数 |
|---|---|---|
| プロジェクトオーナー・コミュニティオーナー(2021年2月〜現在までにプロジェクトを作成された方) | 氏名、住所、電話番号、メールアドレス、口座情報 | 120,929件(うち口座情報含む:66,013件、含まない:54,916件) |
| 支援者(2021年1月〜現在にPayPal決済を利用した方 / 2022年1月〜2023年1月にこんど払いを利用した方 / 2022年1月〜2026年3月にCAMPFIREから口座送金で返金を受け取った方) | 氏名、住所、電話番号、メールアドレス、口座情報 | 130,155件(うち口座情報含む:16,452件、含まない:113,703件) |
| パートナー(2025年3月5日までにCAMPFIREに登録された方) | 氏名 | 1,282件 |
| 対象者ユニーク合計 | 225,846件 |
口座情報については「口座情報のみをもってお客様の口座から直接現金を引き出したり振り込みを行ったりできるものではない」と同社は説明しています。一方で口座情報・氏名・住所・電話番号が組み合わさった形での漏洩は、フィッシング・なりすまし・架空請求詐欺といった二次被害につながるリスクが高まるため、対象者は特に注意が必要です。
二次被害防止のために対象者が取るべき対応
CAMPFIREは対象者に対して以下の注意を呼びかけています。
不審な連絡への警戒として、CAMPFIREを騙り暗証番号やパスワードを聞き出そうとするフィッシング等の詐欺行為に注意が必要です。同社が電話やメールで暗証番号を尋ねることは一切ないとしています。
パスワードの変更として、CAMPFIREと同一のメールアドレスやパスワードを他サービスで利用している場合は、念のため変更することが推奨されています。
銀行口座の確認として、取引明細に心当たりのない不審な履歴がある場合は速やかに利用金融機関か警察専用相談電話(#9110)に相談するよう案内されています。
情シス・セキュリティ担当者へのポイント
本件はGitHubアカウントへの不正アクセスを起点として、内部データベースへの侵入につながったとみられます。外部の開発者向けサービス(GitHubなど)に登録したアカウントの認証情報が窃取・悪用されることで、本番環境のデータベースへのアクセスパスが開かれるという攻撃経路は、近年多くの企業で確認されています。
開発環境と本番環境のアクセス制御の分離、GitHub等の外部サービスへのシークレット(APIキー・認証情報)の漏洩監視、多要素認証の全アカウントへの適用、そしてGitHubのAudit Logの定期的な確認が基本的な対策となります。
▶ 詳細な対策と実際の被害事例については1人の従業員のミスが引き起こすインシデント——事例と対策【保存版】をご覧ください。
よくある質問(FAQ)
Q. 自分が対象かどうかどうやって確認できますか? 対象となるお客様には本日より順次、登録メールアドレス宛に「【重要:CAMPFIRE】お客様情報漏えい可能性に関するお詫びとご報告」という件名でメールが送付されます。メールが届いた場合は内容を確認してください。届かない場合は2026年4月28日10時より開設される専用相談窓口へ問い合わせることができます。
Q. クレジットカード情報は漏洩していますか? クレジットカード情報は今回の対象に含まれていないとCAMPFIREは明示しています。
Q. 口座情報が漏洩した場合、すぐに不正引き出しされる可能性はありますか? CAMPFIREは「口座情報のみで直接現金を引き出したり振り込みを行ったりできるものではない」と説明しています。ただし氏名・住所・電話番号と組み合わせた詐欺行為(架空請求・なりすまし等)に悪用される可能性はあるため、不審な連絡に注意することが重要です。
Q. 専用相談窓口の開設はいつですか? 2026年4月28日10時より開設予定です。問い合わせの際は個別メールに記載の「お問い合わせ番号」を事前に確認しておくと円滑に対応してもらえます。
参考情報
関連記事
不正アクセスとは-定義・件数・手口・目的・防止策を専門家が解説【2026年最新】
損保大手3社がトヨタから2万人分無断持ち出しで情報流出の恐れ、メットライフ生命の出向者も持ち出しか
はてなで最大約11億円の資金流出-ビジネスメール詐欺(BEC)か
消費者金融のキャネット、不正アクセスによるサイバー攻撃で9,987名分の個人情報漏洩の恐れ-二次被害も確認
阪神タイガースがYTEへ委託していた「虎テレ」の懸賞応募フォームから約8千人の個人情報漏洩の可能性
ミートガイ 本店 オンラインストア、不正アクセスにより約10万件の個人情報とクレカ情報も6千件が漏洩
TOKAIコミュニケーションズ、OneOffice Mail Solutionへの不正アクセス-最大約8万件のメールアドレスなど漏洩
高級化粧品メーカーのアルビオン、不正アクセスで勤務経験者の個人情報 漏洩の可能性
神奈川芸術文化財団、サイバー攻撃で個人情報流出の可能性を公表-延べ約1万5,000件が対象の恐れ
