クラウドファンディングサービス「CAMPFIRE」運営のCAMPFIRE社のシステムに対する不正アクセスが発生。
最大22万5846名分の個人情報が流出した可能性が判明した。
この問題は同年4月2日に、システムの「設計図(ソースコード)」を管理・共有するための外部サイト「GitHub(ギットハブ)」のアカウントが第三者に不正利用されたことがきっかけとのことで、システム内部へ入るための認証情報が窃取されたことで、顧客情報を管理するデータベースへ侵入されたことが原因とみられている。
経緯として、2026年4月2日夜にシステム管理用のGitHubアカウントで不正アクセスが検知されており、一部のソースコードが閲覧される事態が発生。
当初、4月3日の第一報時点では個人情報の流出は確認されていなかったものの、その後の調査で被害が拡大した。
4月14日には取引先や開発関係者の情報流出が判明し、さらに4月21日には顧客情報管理システムのデータベースにアクセスの痕跡が見つかっている。
これを受けて同社は4月24日、大規模な流出の可能性を公表し、対象者への通知を開始するに至った。
この影響は外部団体にも波及しており、2026年4月25日には日本サッカー協会(JFA)が、自組織のクラウドファンディング支援者の情報が今回の流出対象に含まれている可能性があるとして注意を呼びかけた。
流出した可能性がある情報は、2021年2月以降のプロジェクト実行者約12万件や、PayPal、特定の決済・返金サービスを利用した支援者約13万件などが該当しており、2025年3月までに登録された一部ユーザーの氏名も閲覧された可能性が懸念されている。
これらの対象者については、氏名や住所のほか、合計で8万2465件の金融機関口座情報が含まれていることが確認されている。
一方で、クレジットカード情報については対象外だと説明されている。
攻撃の手口については、攻撃者がGitHubから取得した「パーソナルアクセストークン(PAT)」と呼ばれる認証情報を悪用し、システム内部へ横展開してデータベースへ侵入した可能性が高いと分析されている。
現時点ではデータの外部ダウンロードや不正利用の事跡は確認されておらず、同社は二次被害を防ぐため、個人情報保護委員会への報告や警察への相談、外部専門機関による調査を並行して進めている。
CAMPFIREは対象となる利用者に対し、「【重要:CAMPFIRE】お客様情報流出可能性に関するお詫びとご報告」と題するメールで順次通知。
今後の対策として、認証情報の無効化や再発行、およびPATへの依存を見直すなどの再発防止策を講じる方針を示している。
また、利用者に対しては、不審なフィッシングメールへの警戒や、パスワードの使い回しを避けること、口座の取引明細に不審な履歴がないかを確認することを呼び掛けている。
【参考】
https://newspicks.com/news/16514264/?invoker=ln_twitter_post_cctw260425_ns16514264&utm_source=twitter&utm_medium=post&utm_campaign=cctw260425_ns16514264
https://campfire.co.jp/press/2026/04/03/campfire/