CAMPFIRE、不正アクセスで情報漏えいか ユニーク約22.6万件、口座情報含む
クラウドファンディング大手の株式会社CAMPFIREは2026年4月27日、不正アクセスによる個人情報漏えいの可能性について続報を公表した。漏えい可能性のある対象はユニークで22万5846件にのぼり、氏名、住所、電話番号、メールアドレスのほか、一部には金融機関の口座情報も含まれる。同社は4月24日に第一報を発表しており、対象者には登録メールアドレス宛に個別の連絡を行っている。
3行で読む本件
見出し
何が起きた:クラウドファンディングを運営するCAMPFIREで不正アクセスが発生し、利用者の個人情報がユニーク約22.6万件分漏えいした可能性がある。
影響:プロジェクトオーナーや支援者、パートナーなど複数の利用者区分にまたがる。氏名・住所・電話番号・メールアドレスに加え、一部の区分では銀行口座情報も対象に含まれる。
対応:同社は4月24日に第一報を公表し、対象者へ個別連絡を開始。27日の続報で漏えい可能性のある範囲の詳細を明らかにしたが、対象者と件数自体は第一報から変更がないとしている。
わかっていること/わかっていないこと
わかっていること
・漏えい可能性のある対象はユニーク件数で22万5846件。
・対象は4区分。プロジェクトオーナー・コミュニティオーナー10万8784件、支援者11万8010件、パートナー1282件、利用者区分が不明な層1万521件で構成される。
・漏えい可能性のある情報は氏名、住所、電話番号、メールアドレス、口座情報。区分により含まれる項目が異なる。
・口座情報を含むのは、プロジェクトオーナー側で5万3868件、支援者側で4307件、区分不明層で1万521件。
・対象者には4月24日付で登録メールアドレス宛に個別通知を実施した。
わかっていないこと
・不正アクセスの発生時期と検知日。
・侵入経路と攻撃手法。
・実際に情報が外部に流出した事実の有無(同社は「可能性」と表現)。
・二次被害の発生状況。
・個人情報保護委員会への報告や警察への通報状況。
対象は4区分、最大で口座情報も
同社の発表によると、漏えい可能性の対象は4区分に整理されている。
第一は、過去にCAMPFIREを利用したプロジェクトオーナー、コミュニティオーナーの一部で10万8784件。氏名、住所、電話番号、メールアドレス、口座情報が対象となる。うち口座情報を含むものが5万3868件、含まないものが5万4916件だという。
第二は、支援者のうち特定の決済・返金履歴を持つ層で11万8010件。具体的には、2021年1月1日から2026年4月19日までにPayPal決済を利用した支援者、2022年1月3日から2023年4月24日までに後払いサービス「こんど払い」を利用した支援者、2022年1月6日から2026年3月5日までにCAMPFIREから口座送金で返金を受けた支援者が該当する。うち口座情報を含むものは4307件、含まないものは11万3703件としている。
第三は、2025年3月5日までに登録された同社のパートナーで1282件。対象は氏名のみ。
第四は、上記の区分に該当するかが不明な利用者(会員登録段階の者など)のうち、2020年1月1日から12月31日までにマイページで口座情報を編集した者で1万521件。対象は口座情報のみという。
これら4区分を重複排除した最終的なユニーク件数が22万5846件となる。
「漏えい範囲の精査」で続報
同社は2026年4月24日、不正アクセスにより個人情報が漏えいした可能性があるとして第一報を公表。対象者には同日付でメール通知を行ったとしている。3日後の27日に出した続報では、その後の精査で漏えい可能性のある範囲の詳細が判明したと説明。一方で、対象者および件数の変動はないと強調した。
購入型クラファン国内大手
CAMPFIREは購入型を中心とした国内大手のクラウドファンディングサービスを運営する事業者。プロジェクトオーナーと支援者を仲介する仕組みで、決済手段としてPayPalや後払いサービス「こんど払い」、口座送金による返金などを提供してきた。今回の漏えい可能性の対象データは、こうした決済・返金や登録の各プロセスで蓄積された利用者情報に紐づくものとみられる。
問い合わせ窓口
同社は本件の問い合わせ窓口として、法務コンプライアンス室を担当部署に充てた。受付はウェブサイト上の問い合わせフォームで行うとしている。
タイムライン
2026年4月24日
不正アクセスによる個人情報漏えいの可能性について第一報を公表。対象者へ登録メールアドレス宛の個別通知を開始した。
2026年4月27日
続報を公表。漏えい可能性のある対象範囲の詳細を区分別に開示した。対象者と件数自体は第一報と変わらないとしている。
不正アクセスの発生日や検知日、監督当局への報告日、警察への通報状況については、現時点で公式発表に記載がない。
関連記事
ホテルオークラ福岡、委託先サーバーへのランサムウェア攻撃で従業員ら9…
美容サロン向け予約管理システム「BeautyMerit」に不正アクセ…
穴吹興産にランサムウェア、個人情報漏洩を確認 通信機器の脆弱性を悪用
NEW CAMPFIREに不正アクセス、JFAクラウドファンディング支援者に…
NEW 穴吹トラベル、グループ会社にランサムウェア攻撃 従業員情報の一部がダ…
NEW 介護福祉用具レンタル委託先へのランサムウェア攻撃で個人情報漏洩か ニ…
不動産管理クラウド「いえらぶCLOUD」に不正アクセス ADIが被害…
美容クリニックにランサムウェア攻撃、患者369人分の個人情報が不正取…
阿波銀行、OAシステムのテスト環境に不正アクセス — 顧客情報約2.…
メディカ出版にランサムウェア攻撃—個人情報流出の有無を調査中、二次被…
NEW 大和リース、Dシェア専用フリーダイヤルへ電話した人の個人情報に漏えい…
NEW 2りんかんイエローハットに不正アクセス、会員情報漏えいの可能性 アプ…
NEW ECOMMITで従業員メール不正アクセス、MFA未設定が原因 個人情…
NEW 歯科衛生士転職サイト「メグリー」に不正アクセス 個人データ漏えいか …
NEW インテグラル、サイト不正アクセスの最終報告 情報漏えいの可能性否定で…
NEW 岩谷産業、通信機器経由の不正アクセスで取引先情報・社員情報に漏えいの…
カテゴリ:セキュリティニュース
タグ:クラウドサービス,メールセキュリティ,不正アクセス,個人情報漏洩,金融
「Apple iCloud」を装ったメール「【 自 動 配 信 】 領 収 書」はフィッシングか検証する
橋本市民病院、看護学生実習で電子カルテへの不正アクセス判明 情報流出の確認はなし