CAMPFIREは6月2日、同社システムへの不正アクセス事案について、外部専門機関による詳細調査が完了したと発表した。
同社によると、外部専門機関による調査の結果、攻撃者によって個人情報を含むデータファイルが外部へ転送された痕跡は確認されなかったという。一方で、一部にログが取得されておらず、操作内容を直接確認できない領域が残っていることから、対象となる情報が閲覧された可能性を否定するには至らないと判断した。
CAMPFIREをめぐっては4月3日以降、GitHubアカウントへの不正アクセスを起点とした一連の事案について発表が行われていた。同社は4月24日、同社クラウド環境への不正アクセスによる影響可能性範囲を特定し、対象者への個別連絡を実施。個人情報保護委員会へ続報を提出し、外部専門機関と連携した調査を進めていた。
今回の調査結果によると、漏えいのおそれがある情報の対象は以下のとおり。
- ・2026年4月9日までにCAMPFIREを利用したプロジェクトオーナーおよびコミュニティオーナーの一部
- 対象情報:氏名、住所、電話番号、メールアドレス、口座情報
- 件数:10万8784件
- ・過去にCAMPFIREで支援を行った支援者のうち、2021年1月1日から2026年4月19日までにPayPal決済を利用したユーザー、2022年1月3日から2023年4月24日までにこんど払いを利用したユーザー、2022年1月6日から2026年3月5日までにCAMPFIREから口座送金の方法で返金を受け取ったユーザー
- 対象情報:氏名、住所、電話番号、メールアドレス、口座情報
- 件数:11万8010件
- ・2025年3月5日までにCAMPFIREに登録された同社パートナー
- 対象情報:氏名
- 件数:1282件
- ・会員登録段階などで該当区分が不明なユーザーのうち、2020年1月1日から同年12月31日までにマイページの口座情報を編集したユーザー
- 対象情報:口座情報
- 件数:1万521件
- (※CAMPFIREお知らせページより引用)
重複を除いた対象ユーザーのユニーク件数は22万5846件。なお、漏えいのおそれがある情報にクレジットカード情報は含まれていない。このほか、同社の開発業務従事者に関する氏名およびメールアドレス413件についても、閲覧可能であった情報として確認されている。
また、外部専門機関の調査では、CAMPFIREが提供するサービスは今回不正アクセスが確認されたクラウド環境とは別の環境で運用されており、サービス提供基盤への不正利用や改ざんは確認されていないことも明らかにされた。個人情報にかかる安全確保措置についても、外部専門機関による要対応事項の指摘はすべて完了しているとしている。
【お知らせ】
— 株式会社CAMPFIRE (@CAMPFIRE_cp) June 2, 2026
2026年4月よりお知らせしております、不正アクセス事案について外部機関による調査が完了しその詳細と今後の方針を含め公表いたしました。改めて、お客様および関係者の皆様に多大なるご迷惑をおかけしましたことを、深くお詫び申し上げます。https://t.co/WjGgMIwMUM
原因については、同社従業員が発行したGitHub認証情報が、従業員が個人開発で利用していたサーバー上に意図せずアップロードされ、第三者に不正利用されたことが確認されたという。
その後、攻撃者はGitHub上で閲覧可能となった情報をもとに、同社が社内業務で利用している特定のクラウド環境に関連する認証情報を探索・取得し、一部管理領域へ不正アクセスを行ったと判断されている。
CAMPFIREは本件について、初動対応による安全性確保と、監視・認証・対応体制の強化を完了したと説明。今後3か月をかけて、認証情報管理、権限管理、情報管理、監視・検知、開発プロセス、コードセキュリティの6領域を中心に、再発防止に必要な管理策の整備を進めるとしている。
なお、CAMPFIREによると、本件発生から現在まで、情報の不正利用が疑われる事象は発生していないという。同社は念のための二次被害防止、および一般的なセキュリティ対策の観点から、すでに案内している内容を改めて確認するよう呼びかけている。
また、本件に関する専用窓口として「CAMPFIRE 個人情報お問い合わせ専用窓口」も開設しており、受付時間は10時から19時まで、土日祝日を含めて対応する。
