マチヤ運営のメディアジーン、CAMPFIRE不正アクセスで利用者情報漏えいの可能性を公表

株式会社メディアジーンと株式会社新東通信が共同運営するキュレーション型クラウドファンディング「マチヤ（machi-ya）」は5月1日、システム基盤を提供する株式会社CAMPFIREで発生した不正アクセス事案により、マチヤ利用者の個人情報も漏えいの可能性があると公表した。氏名や住所、口座情報などが対象となる恐れがある。

CAMPFIRE社における不正アクセス事案に伴う、「マチヤ（machi-ya）」ご利用者さまの個人情報漏えい可能性について || メディアジーン | Mediageneより引用

3行要約

見出し

1 3行要約
2 わかっていること／わかっていないこと
- 2.1 わかっていること
- 2.2 わかっていないこと
3 事案の経緯
4 対象となる可能性のあるマチヤ利用者
5 便乗詐欺への警戒呼びかけ
6 問い合わせ窓口と再発防止
7 背景
8 タイムライン
9 ソース

・何が起きた：CAMPFIREのソースコード管理環境を経由した不正アクセスで、同社基盤上のマチヤ利用者情報も漏えいの可能性。

・影響：マチヤのプロジェクトオーナーと、PayPal決済・こんど払い・口座送金による返金受取を利用した支援者の一部が対象となる恐れ。

・対応：CAMPFIREが対象者に個別メール送付、専用問い合わせ窓口を設置。外部専門機関と調査継続中。

わかっていること／わかっていないこと

わかっていること

・CAMPFIREが不正アクセスを検知したのは2026年4月3日。

・侵入経路はソースコード管理サービス上の認証情報経由とされる。

・漏えいの可能性がある項目は氏名、住所、電話番号、メールアドレス、口座情報（PayPal決済・こんど払い・口座送金による返金受取に伴うもの）。

・クレジットカード情報とログインパスワードは対象に含まれない。

・CAMPFIRE全体の対象者は4月24日発表でユニーク件数225,846件と公表され、4月27日続報でも件数に変更はないとされている。

・対象となる可能性のある利用者にはCAMPFIREから個別にメールを送信済み。

わかっていないこと

・データが外部へ持ち出された事実は現時点で確認されていないが、可能性は否定できないとしている。

・マチヤ利用者に限定した対象人数は未公表で、マチヤ案件における具体的な対象範囲はCAMPFIREが精査中。

・侵入元や認証情報の入手経路など、攻撃の詳細は調査中。

事案の経緯

マチヤは、CAMPFIREのプラットフォーム基盤上で運営されており、会員情報や決済情報の管理はCAMPFIRE側が担っている。CAMPFIREは4月24日、ソースコード管理環境への不正アクセスに起因する個人情報漏えいの可能性を公表していた。

同社の発表によれば、ソースコード管理サービス上の認証情報を経由し、顧客情報を保有するデータベースへ第三者からのアクセスが発生した可能性があるという。調査の過程で対象データベースへのアクセス痕跡が確認された。

マチヤ運営側は5月1日付の告知で「マチヤをご利用いただいているプロジェクトオーナーおよび支援者の一部が含まれる可能性があることが確認されている」と説明。CAMPFIREの発表に準じる形で、影響範囲を開示した。

対象となる可能性のあるマチヤ利用者

マチヤの告知によれば、対象となる可能性があるのは過去にマチヤでプロジェクトを起案・実施したオーナーと、PayPal決済またはこんど払いを利用した支援者、口座送金による返金受取に伴い口座情報を登録した支援者だ。

同社は「対象となる可能性のある利用者にはCAMPFIRE社より個別にメールで連絡している。連絡が届いていない方は、現時点で対象には含まれていない」としている。

便乗詐欺への警戒呼びかけ

マチヤは利用者に対し、本件に便乗した不審なメール・SMS・郵便物・電話に注意するよう呼びかけた。心当たりのない連絡があった場合はリンクを開かず、個人情報や口座情報、パスワードを回答しないよう促している。口座情報については、利用明細に身に覚えのない取引がないか確認するよう求めた。

問い合わせ窓口と再発防止

本件に関する問い合わせは、CAMPFIREが開設した専用窓口に一元化されている。マチヤ運営事務局への問い合わせも同窓口に案内するという。窓口は電話番号「0120-188-070」、受付時間は10時から19時（土日祝含む）で、4月28日から運用を開始している。

再発防止策としてCAMPFIREでは、当該認証情報の無効化、ソースコード管理環境の点検、運用ルールの見直しを実施したほか、個人情報保護委員会への報告と警察への相談を行い、外部専門機関と連携して詳細な調査を進めているとしている。マチヤ運営側は「CAMPFIRE社の調査・対応状況を継続的に確認するとともに、利用者の個人情報保護に資する運用の徹底に努めてまいります」と説明した。

背景

ソースコード管理環境を起点とする情報漏えいは、近年セキュリティ業界で警戒が高まっている類型である。リポジトリやCI/CD環境に保存された認証情報（クレデンシャル）が攻撃者の手に渡ると、本番データベースへの直接アクセスにつながりうる。GitHubやGitLabなどのソースコード管理サービスを介した認証情報の漏出を防ぐため、シークレットスキャンやアクセス権の最小化、トークンの定期ローテーションなどが推奨されている。

クラウドファンディングは決済情報や口座情報を多数保有する性質上、攻撃者にとって魅力的な標的となる。マチヤのように、プラットフォーム基盤を他社に依存するサービスでは、基盤事業者のセキュリティ事案がそのまま自社利用者の被害に直結する構造的リスクがある。

タイムライン

2026年4月3日　CAMPFIREが不正アクセスを検知

2026年4月24日　CAMPFIREが個人情報漏えいの可能性を公表（対象ユニーク件数225,846件）

2026年4月27日　CAMPFIREが続報を公表（対象件数に変更なし）

2026年4月28日　CAMPFIRE個人情報お問い合わせ専用窓口の受付開始

2026年5月1日　マチヤ運営のメディアジーンが利用者向けに告知

ソース

マチヤ「【お知らせ】CAMPFIRE社における不正アクセス事案について（マチヤご利用者さま向けご案内）」

CAMPFIRE社における不正アクセス事案に伴う、「マチヤ（machi-ya）」ご利用者さまの個人情報漏えい可能性について