クラウドファンディング運営の株式会社CAMPFIREのシステムが不正アクセスを受け、個人情報が漏えいした可能性のあることが分かった。同社で2025年10月1日から11月15日までクラウドファンディングを実施した福島ダイアログが2026年5月1日、支援者向けの告知で明らかにした。CAMPFIREは2026年4月24日に個人情報漏えいの可能性を公表しており、これに先立つ同年4月2日にはGitHubアカウントへの不正アクセスが判明、4月22日には顧客情報管理システムへの外部アクセス痕跡を公表していた。
3行要約
CAMPFIREのシステムに不正アクセスがあり、利用者の個人情報が漏えいした可能性がある。漏えい可能性のある対象者には同社が個別にメールで連絡するとしており、福島ダイアログ経由の支援者は現時点で対象に含まれていないという。CAMPFIREは専用お問い合わせ窓口を設置し、利用者からの問い合わせに応じている。
わかっていること/わかっていないこと
わかっていること
CAMPFIREは2026年4月2日22時50分頃にGitHubアカウントへの不正アクセスが判明したと公表し、4月22日には顧客情報管理システムへの外部アクセス痕跡を公表、4月24日に個人情報漏えいの可能性を公表した。CAMPFIREは4月24日および4月27日の公式発表で、漏えいの可能性がある対象者の区分、情報の種別、件数、対象条件となる期間を公表している。CAMPFIREは対象者へ個別にメール連絡する方針を示し、あわせて専用お問い合わせ窓口を開設している。同社は現時点で情報の不正利用による被害は報告されていないと説明したうえで、利用者に二次被害防止を呼びかけている。福島ダイアログの告知によれば、同団体経由でCAMPFIREに支援した利用者については現時点で漏えい可能性のある対象に含まれないことが確認されているという。
わかっていないこと
不正アクセスの侵入経路や攻撃の手口の詳細は本告知では明らかになっていない。情報漏えいの有無についても確定していない部分があり、引き続き調査が進められている。
福島ダイアログ経由の支援者は対象外
福島ダイアログは2025年10月1日から11月15日まで、CAMPFIRE上でクラウドファンディングを実施した。同団体はCAMPFIREの調査結果として、自団体経由の支援者には現時点で漏えい可能性のある対象は含まれていないとしている。一方で、今後新たに状況が判明した場合にはCAMPFIREから対象者へ個別にメールで連絡が入るとして、メールの受信設定の確認を呼びかけた。
同社の対応
CAMPFIREは公式サイトで「弊社システムへの不正アクセスによる個人情報漏えいの可能性に関するお詫びとご報告」「不正アクセスによる情報漏えい可能性の範囲について」とする告知を相次いで公表している。さらに「個人情報漏えい可能性に関する『専用お問い合わせ窓口』」を開設し、利用者からの相談を受け付けているという。
タイムライン
2025年10月1日〜11月15日 福島ダイアログがCAMPFIRE上でクラウドファンディングを実施
2026年4月2日 22時50分頃 CAMPFIREがGitHubアカウントへの不正アクセスを判明
2026年4月22日 CAMPFIREが顧客情報管理システムへの外部アクセス痕跡を公表
2026年4月24日 CAMPFIREが個人情報漏えいの可能性を公表
2026年4月27日 CAMPFIREが追加の発表で対象範囲などを公表
2026年5月1日 福島ダイアログが支援者向けに告知を公開