セキュリティニュース

CAMPFIREのGitHubアカウントに不正アクセス—ソースコード閲覧の可能性、個人情報流出は確認されず

クラウドファンディングサービスを運営する株式会社CAMPFIRE(東京都渋谷区)は2026年4月3日、同社がシステム管理に使用するGitHubアカウントが第三者に不正アクセスされ、一部ソースコードが閲覧された可能性があると発表した。被害が発覚したのは4月2日22時50分頃で、同社は検知後ただちに対象アカウントへのアクセスを遮断し、調査と予防的対策を実施したとしている。

3行要約

何が起きた:同社のGitHubアカウントが不正アクセスを受け、ソースコードの一部が外部から閲覧された可能性がある。
影響:現時点でユーザー・パートナー・取引先の個人情報・機密情報の流出は確認されておらず、サービス運営への影響も認められていない。
対応:不正アクセス検知後に当該アカウントのアクセスを即時遮断し、リスク調査と予防的措置を完了済み。今後も原因究明と再発防止策を継続する。

わかっていること/わかっていないこと

わかっていること

不正アクセスが発生した日時は2026年4月2日22時50分頃と特定されている。被害を受けたのはシステム管理用のGitHubアカウントであり、一部ソースコードが閲覧された可能性がある。発覚後は直ちにアカウントのアクセスを遮断し、リスク確認と予防的対策を完了したとしている。また、現時点で個人情報・機密情報の流出は確認されていない。

わかっていないこと

具体的な侵入経路は明らかにされていない。閲覧された可能性のあるソースコードの範囲や内容についても、公式発表では言及がない。不正アクセスを行った主体の特定状況も現時点では不明だ。また「個人情報の流出は確認されていない」とする一方で、調査が継続中であることから、今後の追加開示の可能性も排除できない。

GitHubアカウントへの不正アクセスが意味するリスク

企業のGitHubアカウントはソースコードの保管場所であると同時に、本番環境への認証情報やAPIキー、インフラ構成ファイルなどが誤って含まれているケースも少なくない。今回閲覧された可能性があるソースコードに機密情報が混在していないか、二次調査の結果が注目される。

開発者向けプラットフォームを標的とした攻撃は近年増加傾向にある。GitHubアカウントへの不正アクセスは、認証情報の搾取(フィッシング・クレデンシャルスタッフィング)、トークンの漏えい、ソーシャルエンジニアリングなど複数の手口が考えられるが、同社は現時点で侵入経路を公表していない。

CAMPFIREは国内最大規模のクラウドファンディングプラットフォームの一つであり、多数の個人・法人のプロジェクト情報や決済情報を扱う。同社は「新たな事実が判明した場合は速やかに開示する」としており、調査の進展が待たれる。

同社の対応状況

CAMPFIREは不正アクセスを検知した直後に当該アカウントのアクセスを遮断し、懸念されるリスクの調査を実施した。緊急性の高い問題がないことを確認した後、予防的観点からの追加対策を講じたと説明している。今後は原因調査と安全性強化、再発防止策の構築を進めるとしている。問い合わせ窓口として、同社広報担当の公式コンタクトフォームを案内している。

タイムライン

2026年4月2日 22時50分頃——GitHubアカウントへの不正アクセスを検知。アクセスを即時遮断し、調査・予防的対策を実施。

2026年4月3日——公式ウェブサイトにて不正アクセス発生に関するお知らせを公開。

なお、関係当局(個人情報保護委員会等)への通報・報告に関する情報は現時点で開示されていない。

ソース

GitHubアカウントへの不正アクセス発生に関するお知らせとお詫び — 株式会社CAMPFIRE
https://campfire.co.jp/press/2026/04/03/campfire/

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,