News

ニュース

2026年06月02日 お知らせ

不正アクセス事案にかかる調査結果について

2026年4月3日以降にお知らせしております「GitHubアカウントへの不正アクセス発生に関するお知らせとお詫び」に関連し、外部専門機関による調査結果を踏まえ、事案の詳細についてご報告いたします。

はじめに

このたびは、弊社のシステム環境にかかる不正アクセスの発生によりお客様の個人情報が漏えいするリスクを生じさせてしまいましたこと、深くお詫び申し上げます。

お客様からお預かりした個人情報を守ることは、私たちの最も基本的かつ重要な責務であるところ、今回、お客様に重大なご心配をおかけする事態となりましたことを、重く受け止めております。信頼回復に向け、今回の対処及び外部専門機関と連携した原因の徹底究明を完了し、加えてセキュリティ体制の抜本的な見直しと強化に着手しました。詳細について、以下にご報告いたします。引き続き本件を重要な経営課題として、安心してご利用いただけるサービスの実現に全力を尽くしてまいります。

改めて、お客様および関係者の皆様に多大なるご迷惑をおかけしましたことを、深くお詫び申し上げます。

1.発生と対応について

本件は、弊社システム環境への不正アクセスにより、お客様の個人情報漏えいのリスクが生じた事案です 。GitHub認証情報の流出を起点に、社内業務用のクラウド環境(一部の管理領域)へ不正アクセスが発生いたしました。詳細な時系列は以下の通りです。

日付主な事象・対応状況
2026年4月3日未明
  • 弊社GitHubアカウントの一部リポジトリに対する不審な操作を検知し、調査を開始。
  • 関連アカウントを弊社アカウントから除外、窃取された可能性のある認証情報を差し替え
2026年4月3日
  • 弊社アカウント全体の認証情報の調査と差し替え
  • 主要リポジトリにおけるコード脆弱性診断の実施
  • サービスのモニタリング強化の実施
  • 第一報「GitHubアカウントへの不正アクセス発生に関するお知らせとお詫び」を公表
2026年4月6日
  • コード脆弱性のうち優先度の高いもののセキュリティ強化実装の完了
  • 権限の強いシステムユーザーの権限整備
2026年4月7日
  • GitHub認証情報の漏えい原因を特定完了
2026年4月14日
  • GitHubリポジトリにおいて閲覧可能な情報の特定が完了し、第二報を公表
  • 対象となるお客様への個別連絡を開始
  • 個人情報保護委員会へ報告
2026年4月20日
  • 弊社が社内業務で利用するクラウド環境における不正アクセスを検知
  • 不正利用されたアカウントとクラウドリソースの停止・無効化を実施
2026年4月21日
  • 外部専門機関へ支援要請の実施
2026年4月22日
  • 顧客情報を管理するシステムへの不正アクセスの痕跡についての第三報を公表
2026年4月24日
  • 弊社クラウド環境への不正アクセスによる影響可能性範囲を特定し第四報を公表
  • 漏えい可能性となったお客様への個別連絡を実施
  • 個人情報保護委員会へ続報を提出
2026年4月27日
  • 影響可能性の範囲について詳細を特定し、第五報を公表
2026年4月28日
  • 個人情報お問い合わせ専用窓口を設置
2026年5月30日
  • 外部専門機関のフォレンジック調査完了

2.漏えいのおそれのある情報について

外部専門機関及び弊社による調査の結果、漏えいのおそれがある情報の対象は以下のとおりです。なお、2026年4月27日に公表した対象ユーザーのユニーク件数に変更はありませんが、集計の精査により、一部内訳に変動がございます。

対象者内容件数
2026年4月9日までにCAMPFIREをご利用いただいたプロジェクトオーナー様、コミュニティオーナー様の一部氏名、住所、電話番号、メールアドレス、口座情報108,784件
※内、口座情報を含むものが53,869件、含まないものが54,915件
過去にCAMPFIREで支援をいただいた支援者様のうち
・2021年1月1日から2026年4月19日までにPayPal決済をご利用の方
・2022年1月3日から2023年4月24日までにこんど払いをご利用の方
・2022年1月6日から2026年3月5日までにCAMPFIREから口座送金の方法で返金を受け取った方		氏名、住所、電話番号、メールアドレス、口座情報118,010件
※内、口座情報を含むものが4,307件、含まないものが113,703件
弊社パートナー様のうち
・2025年3月5日までにCAMPFIREに登録された方		氏名1,282件
上記どちらに該当するか不明(会員登録段階等)な方のうち
・2020年1月1日から2020年12月31日までにマイページの口座情報を編集された方		口座情報10,521件
  • 上記の重複を除いた対象ユーザーのユニーク件数は、225,846件です。
  • 対象となるお客様に関しましては、別途個別にご通知申し上げております。
  • なお、本件において漏えいのおそれがある情報に、クレジットカード情報は含まれておりません。
  • 上記の他、弊社の開発業務従事者に関する氏名およびメールアドレス413件についても、閲覧可能であった情報として確認しております。

3.個人情報漏えいの可能性について

外部専門機関によるフォレンジック調査により以下の調査結果を受領しております。

  • 特定のクラウド環境に保管されていた認証情報およびAPIキー、個人情報を含まない一部のデータファイル、ならびに当該クラウド環境におけるテーブル名および構成情報が、攻撃者に取得されたこと
  • 攻撃者による探索の過程で、個人情報を含む1件のデータがクエリ結果として出力されたこと
  • 一連の攻撃において、個人情報を含むデータファイルが外部へ転送されたことを示す痕跡は確認されず、本件攻撃は各種認証情報の取得を目的とするものであるとの見解

弊社としましては、一部にログが取得されておらず、操作内容を直接確認できない領域が残っていることから、対象となる情報が閲覧された可能性を否定するには至らないものと判断しております。

4.被害範囲とサービスへの影響

外部専門機関によるフォレンジック調査および弊社の確認により、以下の事実を確認しております。

弊社が提供するサービスは、今回不正アクセスが確認されたクラウド環境とは別の環境で運用しており、サービス提供基盤への不正利用や改ざんは確認されておりません。

一方で、弊社の社内業務で利用しているクラウド環境の一部の管理領域において不正アクセスが確認されました。これについては、安全性確認のため社内での利用を一時停止し、不正に作成・利用された可能性のあるリソースについて停止、削除、無効化等の対応を実施しました。

5.攻撃の内容について

本件は、弊社が利用するGitHub環境への不正アクセスを起点として発生いたしました。調査の結果、弊社従業員が発行したGitHub認証情報が、従業員が個人開発で利用していたサーバー上に意図せずアップロードされ、第三者に不正利用されたことが確認されました。
その後、攻撃者はGitHub上で閲覧可能となった情報をもとに、弊社が社内業務で利用している特定のクラウド環境に関連する認証情報を探索・取得し、当該クラウド環境の一部管理領域へ不正アクセスを行ったものと判断しております。

本来、当該認証情報は弊社の管理下の環境においてのみ取り扱われ、かつ必要最小限の権限に限定されるべきものでした。認証情報の管理および権限設計に関する弊社の仕組み・運用ルールが十分でなかった点について重く受け止めております。この認識に基づき、後述の再発防止策を講じております。

6.これまでに実施した安全措置について

本件検知後、弊社は不正アクセスの遮断(同様のアクセスへのブロック体制を含む)および影響拡大を防ぐため、①初動対応による安全性確保、②監視・認証・対応体制の強化、の観点から安全確保の措置を完了しました。
これらについて、外部専門機関が指摘した対応すべき事項との間に齟齬がないことを確認しており、本件に起因する弊社サービスの安全性に影響を及ぼす事象は確認されておりません。

①初動対応による安全性確保(完了)

本件検知後、弊社はまず、不正アクセスの継続および被害拡大を防止し、サービスの安全性を確保することを最優先に対応しました。

GitHubにおける初動対応(4/3-)
  • 該当従業員のGitHubアカウントを組織から除外し不正アクセスの入口の遮断
  • 不正利用された認証情報の無効化・更新
  • モニタリング体制の強化
該当クラウド環境における初動対応(4/20-)
  • 不正利用された認証情報の無効化・更新
  • 不正に作成または操作されたクラウドリソースの停止・削除

②認証・監視・対応体制の強化(完了)

初動対応によるサービスの安全性の確保後、弊社は同様の不正アクセスの継続や再発を防ぐため、再発抑止に向けたセキュリティ強化を実施しました。今回と同様の発生原因に基づく事象については再発抑止のための対策を実施済みです。

主な対応は以下の通りです。

1. 認証・権限管理の強化

認証情報の利用ルールを見直し、不要または高リスクな認証情報の利用を制限・無効化しました。
また、個人用アクセストークンへの依存を見直し、権限を限定した認証方式への移行を完了しました。

2. ログ監視・可視化の強化

不正アクセスや高リスクな操作をより早期に検知できるよう、監査ログの取得・アラートの通知を強化しました。

3. アラート・検知体制の強化

検知したアラートに対して速やかに確認・判断・対応できるよう、監視およびトリアージの運用体制を整備しました。

4. ソースコードにおけるセキュリティ強化

ソースコード上のリスク確認を行い、リスクの高い箇所について必要な修正を実施しました。
また、継続的に脆弱性を検知・改善できる脆弱性診断ツールの導入と運用を開始しました。

7.セキュリティ管理のさらなる高度化

初動対応および体制強化で実施した安全確保措置に加え、セキュリティ管理を継続的に高度化してまいります。

弊社は、以下の6領域を中心に、認証情報管理、権限管理、情報管理、監視・検知、開発プロセス、コードセキュリティの強化を進めます。

1. 秘密情報の管理強化

認証情報自体の発行を最小化し、意図せず外部に露出することを防ぎます。
また、仮に認証情報が露出した場合でも、迅速に検知・無効化できる状態を目指します。

2. 権限・認証・認可の見直し

認証情報が漏えいした場合でも、影響範囲を最小化できる状態を目指します。
認証情報1つで広範囲な操作ができないよう、権限設計と認証方式を見直します。

3. 情報の所在・配置ルールの監査

重要情報を重要情報として限定された範囲で扱い、それらがどこにあるかを把握・管理できる状態を目指します。

4. 検知・防御の自動化とログ最適化

特定のクラウドサービスに閉じず、横断的に不正アクセスの早期検知・防御を行える状態を目指します。
また、AIの活用も含め、影響が拡大する前に異常を検知できる体制を整備します。

5. 開発環境における防護柵強化

危険な操作や設定が本番環境・クラウド環境に反映される前に防ぐ仕組みを強化します。

6. コード脆弱性の早期検知体制

脆弱性の予防・検知・解消サイクルを確立し、継続的に管理できる体制を整備します。


以上について、まずは今後3か月をもって再発防止に必要な管理策の整備を完了させてまいります。

また、今回の対応を一過性のものとせず、整備した管理策を継続的に運用・改善するため、定期的なレビュー、見直し、外部専門機関による評価等を実施し、セキュリティ管理の成熟度を継続的に高めてまいります。

8.専用お問い合わせ窓口について

本件に関しまして、お客様からのご質問やご確認に迅速にお応えするため、下記の通り専用窓口を開設しております。なお、本件に関して個別連絡をお受け取りになったお客様におかれましては、お問い合わせの際に、メール内に記載しております「お問い合わせ番号」をお伝えいただけますと、よりスムーズなご案内が可能です。


 【CAMPFIRE 個人情報お問い合わせ専用窓口】

  電話番号: 0120-188-070(通話料無料)

  受付時間: 10:00 〜 19:00(土日祝日を含む)