チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「クラファンサイトのアカウントから情報が漏れたらしいけど、自分の口座番号は大丈夫?」
「GitHubアカウントが乗っ取られただけで、なぜ22万人もの個人情報が抜かれるの?」
チップスボス!CAMPFIREの口座情報まで漏れたって本当でしゅか?
支援した友達に「フィッシング気をつけて」って連絡したほうがいいでしゅか?
ボス落ち着け、チップス。事の発端はGitHubアカウント1つの侵害だ。
そこから本番DBに辿り着かれた経路を理解すれば、自社にも応用できる教訓が見えるな。
2026年4月24日、クラウドファンディング大手のCAMPFIREが、GitHubアカウントへの不正アクセスを起点に最大22万5,846件の個人情報が漏洩した可能性を公表しました。
口座情報を含む件数は8万2,465件にのぼります。
本記事では事件の経緯と、GitHubアカウントから本番システムまで侵害が拡大したメカニズム、そして同種の攻撃を防ぐためのポイントを整理します。
支援者として登録した方は、まずフィッシング対策と他サービスでのパスワード使い回し確認から始めてください。
事件の全体像を時系列で追えば、自社のSaaS連携アカウントを見直す動機になるはずです。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【セキュリティ推進課向けプリセールス支援】フルリモート(稼働80~100%)/提案・PM・コンサル
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
事件は3週間かけて段階的に被害が拡大しました。
侵入の入口は、たった1つの管理用GitHubアカウントです。
当初の発表では「ソースコードが閲覧された可能性」とされていました。
しかし、4月14日には413名分の個人情報の閲覧、4月22日には本番データベースへのアクセス痕跡、そして4月24日には最終的に22万件超の漏洩可能性へと被害が広がりました。
漏洩した情報の内訳は以下のとおりです。
| 対象 | 件数 | 主な情報 |
|---|---|---|
| プロジェクト実行者(2021年2月以降) | 約12万929件 | 氏名、住所、電話番号、口座情報 |
| PayPal決済の支援者(2021年1月〜2023年1月) | 約13万155件 | 氏名、決済関連情報 |
| サポーター登録者(2025年3月5日まで) | 1,282件 | 氏名 |
このうち口座情報を含むのは8万2,465件です。
クレジットカード情報は対象外でしたが、振込口座が紐づくユーザーへのフィッシング・なりすまし詐欺リスクは相当高いと見るべきです。
引用元: ITmedia NEWS
チップスえっ、最初は「ソースが見られた」だけだったのに、3週間で22万件まで増えるんでしゅか…!
ボスふふふ。だから初動の「閲覧された可能性」だけを信じてはいけないのだ。
侵害は氷山の一角であることが多い。継続調査で本当の規模が見えてくる。
「ソースコードリポジトリが、なぜ顧客DBに繋がるのか?」
この疑問が事件の核心です。
GitHubのプライベートリポジトリには、開発者が便宜的にコミットしたDB接続情報、APIキー、IAMアクセスキーなどが残っていることが珍しくありません。
カスペルスキーの調査でも、GitHub上のトークン漏洩は世界規模で繰り返し発生しています。
侵害発生時に攻撃者がまず探すのは以下のような情報です。
CAMPFIREでは、4月21日に本番DBへのアクセス痕跡が確認されています。
つまり、GitHub上で得た情報を起点に内部システムへ横展開された可能性が高いと考えられます。
引用元: Kaspersky Daily
IPAは不正ログイン対策として多要素認証(MFA)の徹底を呼びかけています。
とくに開発者のGitHubアカウントは「本番システムへの鍵束」と考えるべきで、エンドユーザー向けより厳格な保護が必要です。
最低限実施すべき対策は以下のとおりです。
引用元: IPA 不正ログイン対策特集
チップスうちの開発チームでも、Slackに「APIキー貼ってー」って言ってる人、いるでしゅ…
ボスそれは即やめさせろ。
シークレットの取り扱いは、文化として定着させない限り事故が止まらん。
CAMPFIREの事案は、GitHubアカウント1つの侵害が顧客22万人規模のデータ漏洩に発展した典型例です。
口座情報まで含む被害は、フィッシング詐欺の二次被害につながりやすく、利用者側の警戒も欠かせません。
企業側で問われるのは、開発者アカウントの保護を「IT資産の中核」として再設計できているかという点です。
シークレット管理とMFA徹底は、もはやエンジニア任せにしてよい話ではありません。経営層が監督すべきガバナンステーマです。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【セキュリティ推進課向けプリセールス支援】フルリモート(稼働80~100%)/提案・PM・コンサル
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
