CAMPFIRE、GitHub不正アクセスの原因を発表
クラウドファンディング大手のCAMPFIREは6月2日、同社のGitHubアカウントが不正アクセスを受けた問題について、外部専門機関によるフォレンジック調査の結果を発表した。従業員が発行したGitHub認証情報が、個人開発で利用していたサーバーに意図せずアップロードされ、第三者に悪用されたことが原因だったとしている。
不正アクセスの経緯
発表によると、3月12日以降に従業員が発行したGitHubの認証情報を攻撃者が不正に取得。これを使って同18日、攻撃者がCAMPFIREのGitHubアカウントに不正アクセスし、複数のリポジトリをコピーした。さらに4月2日、同社のGitHubアカウントでGitHub Actionsを利用し、CI/CD環境上で任意の処理を試行。4月16日にかけて、同社が社内向けに利用しているクラウド環境の認証情報を探索・取得し、一部の管理領域に侵入したとみられる。
攻撃者が取得したのは、クラウド環境に保管されていた認証情報とAPIキー、個人情報を含まない一部のデータファイル、クラウド環境内のテーブル名・構成情報。探索の過程で、個人情報を含む1件のデータがクエリ結果として出力されていた。一連の攻撃で、個人情報を含むデータファイルが外部へ転送されたことを示す痕跡は確認していないが、一部のログを取得できておらず、操作内容を直接確認できない領域が残っていることから、情報流出は否定できないとしている。
流出可能性のある個人情報
流出のおそれがある個人情報のユニーク件数は4月27日公表の22万5846件から変更はなく、氏名、住所、電話番号、メールアドレス、貢献情報が含まれていた。対象のユーザーには個別に通知している。CAMPFIREのサービス提供基盤は、不正アクセスを受けたクラウドとは別に運用しており、不正利用や改ざんは確認していないという。
再発防止策
再発防止に向けて同社は、不正利用された認証情報の無効化や、不正に作成・操作されたクラウドリソースの停止・削除、認証情報の利用ルールの見直し、個人用アクセストークンに依存しない認証方式への移行、ログ監視の強化などを完了した。今後3カ月で、権限・認証・認可の見直しや、横断的に不正アクセスの早期検知・防御、危険な操作や設定が本番環境・クラウド環境に反映される前に防ぐ仕組みなどを強化し、再発防止につなげる。
