CAMPFIRE 個人情報漏洩から学ぶ — GitHub アカウント侵害が招く CI/CD セキュリティリスク

Sat, 25 Apr 2026 00:00:00 +0000

クラウドファンディングプラットフォーム CAMPFIRE が、GitHub アカウントへの不正アクセスを起点に最大 22 万 5,846 件の個人情報が漏洩した可能性があると発表しました（2026 年 4 月 24 日）。単なる「パスワード流出」ではなく、CD パイプラインを悪用してインフラを乗っ取るという、現代の DevOps が抱えるリスクを象徴するインシデントです。本記事ではエンジニア視点で攻撃経路を分析し、再発防止策を考えます。

インシデントの経緯

日時	出来事
2026-04-02 22:50	GitHub アカウントへの不正アクセスを検知。一部ソースコードが閲覧された可能性（初報）
2026-04-14	第二報：社員・取引先情報の閲覧可能状態を確認
2026-04-22	第三報：顧客情報管理システムへの不正アクセス痕跡を確認
2026-04-24	個人情報漏洩の可能性を正式発表（最大 22 万 5,846 件）

漏洩した可能性がある情報は以下のとおりです:

プロジェクト実行者 12 万 929 件：氏名・住所・電話番号・口座情報など（2021 年 2 月以降）
支援者 13 万 155 件：氏名・住所・口座情報など（PayPal 決済、後払い、口座送金返金ユーザー）
うち 8 万 2,465 件が口座情報を含む
クレジットカード情報は対象外（CAMPFIRE 公式発表）

推定される攻撃経路

エンジニア向け技術解説として、@poly_soft（勝又健太）氏が X（旧 Twitter）で以下の攻撃チェーンを推察しています。この分析は公式発表を補完する形で、攻撃者が具体的にどう動いたかを示しています（以下はあくまで推定です）。

Step 1: CD 権限を持つ GitHub アカウントの侵害（推定）

攻撃者が最初に侵害したのは、単独で CD（継続的デプロイ）をトリガーできる権限を持つ GitHub アカウントであったと推定されます。

問題の設定として考えられるのは:

OIDC on hdknr blog

CAMPFIRE 個人情報漏洩から学ぶ — GitHub アカウント侵害が招く CI/CD セキュリティリスク

インシデントの経緯

推定される攻撃経路

Step 1: CD 権限を持つ GitHub アカウントの侵害（推定）