CAMPFIRE GitHub Account Breached, Potentially Exposing 225,000 User Records

クラウドファンディング大手のCAMPFIREは6月2日、同社のGitHubアカウントが不正アクセスを受け、最大22.5万件の個人情報が漏えいした可能性がある問題の原因について、外部専門機関によるフォレンジック調査の結果を発表した。

従業員が発行したGitHub認証情報が、個人開発で利用していたサーバに意図せずアップロードされ、第三者に悪用されたことが原因だったという。

発表によると、3月12日以降に従業員が発行したGitHubの認証情報を攻撃者が不正に取得。これを使って同18日、攻撃者がCAMPFIREのGitHubアカウントに不正アクセスし、複数のリポジトリをコピーした。

攻撃者は4月2日、同社のGitHubアカウントでGitHub Actionsを利用し、CI/CD環境上で任意の処理を試行。4月16日にかけ、同社が社内向けに利用しているクラウド環境の認証情報を探索・取得し、一部の管理領域に侵入したとみられる。

攻撃者が取得したのは、クラウド環境に保管されていた認証情報とAPIキー、個人情報を含まない一部のデータファイル、クラウド環境内のテーブル名・構成情報。探索の過程で、個人情報を含む1件のデータがクエリ結果として出力されていた。

一連の攻撃で、個人情報を含むデータファイルが外部へ転送されたことを示す痕跡は確認していないが、一部のログを取得できておらず、操作内容を直接確認できない領域が残っていることから、情報流出は否定できないとしている。

漏えいのおそれがある個人情報のユニーク件数は4月27日公表の22万5846件から変更はなく、氏名、住所、電話番号、メールアドレス、口座情報が含まれていた。対象のユーザーには個別に通知している。

CAMPFIREのサービス提供基盤は、不正アクセスを受けたクラウドとは別に運用しており、不正利用や改ざんは確認していないという。

再発防止に向けて同社は、不正利用された認証情報の無効化や、不正に作成・操作されたクラウドリソースの停止・削除、認証情報の利用ルールの見直し、個人用アクセストークンに依存しない認証方式への移行、ログ監視の強化などを完了した。

今後3カ月で、権限・認証・認可の見直しや、横断的に不正アクセスの早期検知・防御、危険な操作や設定が本番環境・クラウド環境に反映される前に防ぐ仕組みなどを強化し、再発防止につなげる。