つい先日、クラウドファンディング大手のCAMPFIREで、GitHubアカウントへの不正アクセスを起点とした個人情報漏えいの可能性が公表されました。
同社の発表によると、GitHubアカウントへの不正アクセスを検知、その後の調査で顧客情報を管理するシステムの一部において個人情報が漏えいした可能性があることが判明し、対象者の件数は最大225,846件とされています。
WorXupでは先日、【検証シリーズ第2弾】Claude CodeでPOSシステムを開発してみたとした検証、コラム投稿をおこなっており、ここでGitHubの活用にも触れています。
そんな中でのCAMPFIREのニュースですので、今回はここについて深堀り、見解をお伝えしていければと思います。
改めてCAMPFIRE不正アクセス事案における時系列整理
時系列としては数か月前に遡り、そもそもなんだっけ?となる可能性もあるため念のため改めて事象を整理しておきます。細かい進捗なども含まれているため、時系列は大丈夫だよという方は読み飛ばしていただければと思います。
| 時系列 | 事象 |
|---|---|
| 2026年3月12日以降 | 従業員が発行したGitHub認証情報を攻撃者が不正に取得したとされる。 |
| 2026年3月18日 | 攻撃者が取得したGitHub認証情報を使い、CAMPFIREのGitHubアカウントへ不正アクセス。複数のリポジトリをコピーしたとされる。 |
| 2026年4月2日 22時50分頃 | CAMPFIREのシステム管理に使用しているGitHubアカウントに対し、第三者による不正アクセスが発生。一部ソースコードが閲覧された可能性が判明。 |
| 2026年4月3日未明 | CAMPFIREがGitHubアカウントの一部リポジトリに対する不審な操作を検知し、調査を開始。関連アカウントの除外や、窃取された可能性のある認証情報の差し替えを実施。 |
| 2026年4月3日 | CAMPFIREが第一報を公表。この時点では、一部ソースコードが閲覧された可能性がある一方、ユーザー・パートナー・取引先の個人情報や機密情報の流出、サービスへの影響は確認されていないと説明。 |
| 2026年4月7日 | GitHub認証情報の漏えい原因を特定。従業員が発行したGitHub認証情報が個人開発で利用していたサーバー上に意図せずアップロードされ、第三者に不正利用されたことが確認。 |
| 2026年4月14日 | 第二報を公表。不正アクセスを受けたGitHubアカウントから、一部の個人情報が閲覧可能な状態であったことを確認。対象は取引先の氏名・連絡先情報、開発業務従事者413名の氏名・メールアドレスなど。 |
| 2026年4月20日 | CAMPFIREが社内業務で利用するクラウド環境における不正アクセスを検知。不正利用されたアカウントとクラウドリソースの停止・無効化を実施。 |
| 2026年4月21日 | 外部専門機関へ支援を要請。顧客情報を管理するシステムへの影響調査が本格化。 |
| 2026年4月22日 | 第三報を公表。顧客情報を管理するシステムの一部において、外部からの不正アクセスの痕跡が確認されたと発表。 |
| 2026年4月24日 | 第四報を公表。顧客情報を管理するシステムの一部において、個人情報が漏えいした可能性があることを発表。対象者のユニーク件数は最大225,846件とされ、対象者への個別連絡を開始。クレジットカード情報は含まれていないと説明。 |
| 2026年4月24日 | 個人情報保護委員会へ続報を提出。二次被害防止として、フィッシング、不審メール、不審な郵便物、銀行口座の取引明細確認、パスワード変更などへの注意喚起も行われた。 |
| 2026年4月27日 | 第五報を公表。漏えい可能性のある範囲を精査し、対象区分ごとの件数を更新。対象者のユニーク件数225,846件に変更は無し。 |
| 2026年4月28日 | 個人情報に関する専用お問い合わせ窓口を開設。対象者や利用者からの問い合わせに対応する体制を整備。 |
| 2026年5月30日 | 外部専門機関によるフォレンジック調査が完了。 |
| 2026年6月2日 | 調査結果を公表。原因は、従業員が発行したGitHub認証情報が個人開発用サーバーに意図せずアップロードされ、第三者に不正利用されたことと説明。攻撃者はGitHub上で閲覧可能となった情報をもとに、社内業務用クラウド環境に関連する認証情報を探索・取得し、一部管理領域へ不正アクセスしたとされている。 |
| 2026年6月2日 | 外部専門機関の調査では、個人情報を含むデータファイルが外部へ転送された痕跡は確認されず。一方で、一部ログが取得されていない領域があるため、対象情報が閲覧された可能性は否定できないと判断。 |
| 2026年6月2日以降 | CAMPFIREは再発防止策として、認証情報管理、権限管理、情報管理、監視・検知、開発プロセス、コードセキュリティの6領域を中心に、今後3か月を目途に管理策の整備を進めるとしている。 |
今回の事案を時系列で見ると、単なるGitHubアカウントへの不正アクセスではなく、認証情報の管理不備を起点として、GitHub、クラウド環境、顧客情報管理システムへと影響範囲の確認が広がっていったことが分かります。
この流れから分かるのは、GitHubは単なるコードの保存場所ではなく、クラウド環境や業務システムにつながる重要な入口になり得るということです。
改めてGitHubとは?
なお、現時点で公表されている情報では、当該従業員が具体的にどのような作業を行っていたのかは定かではありません。
ただし、GitHubの認証情報を発行し、利用していたということは、少なくともコード管理や開発環境の運用など、システム開発に近い領域へ関わっていたと考えるのが自然です。
改めてGitHubとは、作成したプログラムのコードを保存し、変更履歴を管理するためのサービスです。
複数人で開発する場合には、誰がどの部分を変更したのかを記録したり、過去の状態に戻したり、別の開発者と作業内容を共有したりするために使われます。
また、近年ではGitHubに保存したコードをもとに、Vercelなどのサービスと連携してWebアプリを公開するケースも増えています。
つまりGitHubは、単なる「コード置き場」ではなく、開発から公開までの流れをつなぐ重要な場所になっています。
そのため、GitHub上で扱う情報の中には、外部に見えてはいけないものが含まれる可能性があります。
例えばサービスに接続するためのAPIキー、データベースの接続情報、クラウド環境の認証情報などです。
こうした情報はアプリを動かすためには必要ですが第三者に知られてしまうと不正アクセスの入口になりかねません。
今回の事案でも、具体的な作業内容までは明らかになっていないものの、GitHub認証情報が個人開発で利用していたサーバー上に意図せずアップロードされ、第三者に悪用されたとされています。
今回の事象は個人環境に置かれた“業務用の鍵”がリスクとなった
今回の事案の主な原因は、業務で利用するGitHub認証情報が、個人開発で利用していたサーバー上に意図せずアップロードされ、第三者に悪用されたことにあります。
つまり、GitHubそのものに重大な欠陥があったというよりも認証情報の管理方法や個人開発環境と業務環境の切り分けに問題が生じた事案と見ることができます。
今回の事案をわかりやすく例えるなら会社の重要な部屋に入るための鍵を、個人の作業スペースに置いたままにしてしまい、その鍵を第三者に使われてしまったようなものです。
ここでいう「会社の重要な部屋に入るための鍵」が、GitHub認証情報です。
本来は会社の管理された環境で厳重に扱うべきものですが、それが個人開発で利用していたサーバー上に意図せず置かれ、外部から取得されてしまったことで、不正アクセスにつながったと考えられます。
一方で、「通常の業務環境で管理していれば必ず防げた」とまでは言い切れません。
セキュリティが整備された業務環境であれば、アクセス権限の制御、監視、ログ管理、認証情報の保護、異常検知などによってリスクを下げられる可能性はあります。
しかしどれだけ環境を整えていても認証情報が外部に漏れたり権限の強いアカウントが悪用されたりすれば、不正アクセスにつながる可能性は残ります。
そのため今回のポイントは、「個人環境だったから危険だった」という単純な話ではなく、業務用の認証情報をどこで、誰が、どのように扱うかを厳格に管理する必要があるという点にあります。
WorXupの検証でも見えたAI開発の便利さと危うさ
前回、WorXupで行ったClaude CodeによるPOSシステム開発の検証でも、GitHub、Vercel、Supabaseといったサービスを実際に利用しました。
Claude Codeに指示を出しながら、コードを生成し、GitHubに保存し、Vercelで公開し、Supabaseと接続する。
この流れは、非エンジニアにとっても非常に大きな可能性を感じるものでした。
一方で実際に進めてみるとGitHubへのpushでブランチ名が違っていたり、Vercelの本番公開先に必要な接続情報を設定できていなかったりと開発特有のつまずきも多くありました。
そのときは、エラーメッセージをClaude.aiに貼り付けることで解決できました。
しかし今回のCAMPFIRE事案を踏まえると、重要なのは「エラーを直せること」だけではありません。
・GitHubに何を置いてよいのか。
・環境変数やAPIキーをどこで管理すべきなのか。
・個人環境と業務環境をどう切り分けるべきなのか。
こうした判断も出来て初めて、AI開発を安全にビジネスへ活用できるのだと改めて感じる出来事でした。
最後に
今回のCAMPFIRE事案は、GitHubそのものが危険だという話ではありません。
むしろ、AI開発が広がる時代だからこそコードや認証情報をどう扱うか、個人環境と業務環境をどう切り分けるかを考える必要がある、という示唆を与えてくれます。
「新しいビジネスを作れるようになること」は、AI時代の大きな武器です。
しかし、本当にビジネスを加速させるためには「安全に扱えること」まで含めて、自分たちの力にしていく必要があります。
WorXupでは今後もAIやデジタルツールを単なる話題として取り上げるだけでなく、実際の検証や事例を通じて、ビジネスの現場でどう活用できるのかを考えていきます。
