「世界的なITコンサルのAccentureが攻撃されたって本当?うちみたいな会社も狙われる?」
「ソースコードやAzureの認証情報が犯罪フォーラムに売り出されたら、何が起こるんでしゅか?」
ボス、Accentureって世界最大手のコンサル企業じゃないでしゅか。それでも侵害されてしまうんでしゅね…。
ああ、規模が大きければ大きいほど、攻撃者にとっての「価値」も高くなる。ソースコードだけでなく、AzureのアクセストークンやSSHキーまで含まれているとしたら、その先のサプライチェーンへの影響も深刻だ。
2026年7月7日、脅威アクター「888」が犯罪フォーラムPwnForumsにAccentureから窃取したと主張する35GBのデータを売り出しました。
Accentureは侵害の事実を認めながらも「孤立した問題として対処済み」と発表し、流出データの具体的な内容や規模については公表を避けています。
Azure DevOps認証情報の露出が含まれる可能性があることから、サプライチェーン攻撃への波及が懸念されています。
- 脅威アクター「888」が35GBのAccentureデータをPwnForumsにて7月7日から販売開始
- RSAキー・SSHキー・Azure PAT(個人アクセストークン)が含まれる可能性
- Accentureは侵害を確認したが詳細を非公表。Azure DevOps経由のサプライチェーン攻撃リスクが懸念
この記事では、今回の侵害で何が起きたのか、そしてAzure認証情報の流出がなぜ危険なのかを解説します。
目次
Accenture侵害の概要と販売されたデータの実態
今回の侵害で何が起きたのか、明らかになっている事実を整理します。
「888」がPwnForumsで35GBのデータを売り出した経緯
2026年7月7日、「888」というハンドルネームを持つ脅威アクターが、犯罪フォーラムPwnForumsに投稿を行いました。
Accentureから「ちょうど35GB超のソースコード」を窃取したと主張し、Monero(モネロ)による一度限りの売却形式で販売を開始しました。
売却を主張しているデータの内容は以下の通りです。
| データ種別 | 深刻度 |
|---|
| ソースコード(35GB超) | 高(知的財産の損失) |
| RSAキー・SSHキー | 極めて高(システムへの侵入に直結) |
| Azure Personal Access Token(PAT) | 極めて高(Azure DevOpsへの不正アクセス) |
| Azure Storage Access Key | 高(クラウドストレージへのアクセス) |
| 設定ファイル・構成情報 | 高(インフラ構成の把握に悪用) |
「888」が投稿したスクリーンショットには、Azure DevOpsエンドポイント(dev.azure.com)に対するcurlリクエストと、Accentureの本番URLのリポジトリのクローン操作を示すコマンドライン出力が含まれており、一定の信ぴょう性があるとされています。
なお「888」は2024年にも同社を標的にした侵害を主張しており、Accentureはそれを否定していた経緯があります。
Accentureは侵害を認めたが詳細を公表せず
「孤立した問題として対処済み、業務への影響はない」と回答したが、流出データの内容や規模については公表を拒んでいる。これはよくある危機管理対応だが、関係する顧客企業には別の対応が必要かもしれない。
Accentureはメディアの取材に対し、「このような孤立した問題を認識しており、その原因を対処済みである。Accentureの業務とサービス提供には影響がない」と回答しました。
しかし、流出データの具体的な内容、侵害の手口、影響を受けた顧客に関する情報は一切公表していません。
Azure認証情報流出がなぜ危険なのか
今回の侵害で特に深刻なのは、Azure DevOpsの認証情報が含まれる可能性です。
Azure PATが漏洩するとサプライチェーン攻撃につながる
Azure Personal Access Token(PAT)は、Azure DevOpsのリポジトリやパイプラインにアクセスするための認証情報です。
これが攻撃者の手に渡ると、以下のような被害が連鎖する恐れがあります。
- Accentureが管理する顧客向けシステムのリポジトリへの不正アクセス
- CI/CDパイプラインへのマルウェア埋め込みによるサプライチェーン攻撃
- 顧客のAzureクラウド環境への横展開(ラテラルムーブメント)
大手コンサルが狙われる理由と日本企業への示唆
Accentureのような大規模なITコンサルティング企業は、多数のクライアント企業のシステムに深く関与しています。
攻撃者にとっては、1社への侵害でその先に連なる顧客企業のデータや環境へのアクセスが得られる可能性があります。これがまさにサプライチェーン攻撃の狙いです。
日本企業がこの事件から学ぶべき教訓は以下の通りです。
- 委託先・ベンダーが侵害された場合の影響範囲を事前に把握しておく
- Azure PATなどのアクセストークンは有効期限を短く設定し定期的に再発行する
- 外部委託先のセキュリティ対応状況を定期的に評価する(サプライヤーリスク管理)
まとめ
大手コンサルが侵害されたからといって対岸の火事ではない。そのコンサルに仕事を任せている企業が、次の標的になりうるというわけだ。委託先のセキュリティ評価を怠るな。
自社だけ守っていてもダメなんでしゅね。取引先やベンダーのリスクも考えないといけないんでしゅか…。
Accentureへの侵害は、世界最大手のITコンサルでもサイバー攻撃の標的になることを示した事件です。
Azure DevOps認証情報を含む可能性のあるデータが犯罪フォーラムで売買される状況は、その先にある顧客企業への波及リスクをはらんでいます。
自社のシステムを守るだけでなく、委託先やベンダーが侵害された際の影響を事前に把握し、アクセス権限の最小化と定期的な棚卸しを実施することが重要です。