CAMPFIREは2026年4月22日、4月3日に公表していたシステム管理用GitHubアカウントへの不正アクセスについて第三報を公表しました。今回の調査で、同社が顧客情報を管理するシステムの一部に、外部からの不正なアクセスの痕跡が確認されたとしています。一方で、当該システムの安全確保に必要な措置は完了しており、現在は影響範囲の検証を進めている段階です。
何が起きたか
4月14日に公表された第二報では、不正アクセスを受けたGitHubアカウントから、一部の個人情報が閲覧可能な状態にあったことが明らかにされていました。対象は、取引先1先に関する氏名と連絡先情報、そして開発業務の従事者である従業員、退職者、業務委託先を含む計413人分の氏名とメールアドレスです。この時点では、不正利用の事実は確認されていないとしていました。
その後の詳細調査の結果、4月22日の第三報では、個人情報閲覧可能状態の確認に加え、顧客情報を管理するシステムの一部でも、外部からの不正アクセスの痕跡が確認されたと公表しました。ただし、この段階では顧客情報の漏えいが確定したとは説明しておらず、影響範囲の検証結果が判明し次第、改めて報告するとしています。
影響
現時点でCAMPFIREが確定情報として示しているのは、第二報で公表された取引先1先分の連絡先情報と、開発業務従事者計413人分の氏名、メールアドレスが閲覧可能な状態にあったことです。第三報では、これに加えて顧客情報管理システムの一部に不正アクセス痕跡が見つかったものの、具体的にどの情報がどこまで影響を受けたかは、なお検証中としています。
原因
CAMPFIREが公表している原因の起点は、システム管理用GitHubアカウントに対する不正アクセスです。
第二報では、このGitHubアカウント経由で一部情報が閲覧可能な状態にあったことを認めており、第三報では調査を進める中で、顧客情報管理システムの一部にも不正アクセス痕跡が見つかったとしています。ただし、侵入経路の詳細や、GitHubアカウント侵害と顧客情報管理システムの痕跡がどのように結び付くのかまでは、現時点で明らかにしていません。
関連記事
TOKAIコミュニケーションズ、OneOffice Mail Solutionへの不正アクセス-最大約8万件のメールアドレスなど漏洩
CAMPFIRE、GitHubアカウントへの不正アクセスを公表 一部ソースコードが閲覧された可能性
第一工業、ランサムウェアの侵入経路はVPN装置の可能性、現時点で情報漏えいは確認されず
リョーサン菱洋HD、ホームページのRSS機能に不正アクセス-不審情報配信で注意喚起
日本コロムビア、グループ会社を含むサーバへの不正アクセスを公表
医療機器の輸入販売のインテグラル、公式サイトの不正アクセスで個人情報漏洩の恐れ
関西総合システムへのサイバー攻撃-ランサムウェア グループBrain Cipherが不正アクセスを主張
東京都立大学、フィッシングメール 起点のGoogleアカウントへ不正アクセスの被害で個人情報漏洩の恐れ
村田製作所、不正アクセスで顧客・取引先情報と従業員の個人情報の漏洩の恐れ
