【インシデント速報】CAMPFIRE 22.5万人漏えい・2りんかん不正アクセス・市立奈良病院がサイバー攻撃
secureCAMPFIRE は GitHub アカウントへの不正アクセスを起点に最大 22.5 万人分の口座情報含む個人情報漏えいを公表。2りんかんはサーバ侵害でアプリ会員情報が外部流出した可能性。市立奈良病院は電子カルテ停止に追い込まれたが 4 月 24 日に復旧。「外部 SaaS・開発基盤・ネットワーク機器」がいま狙われている起点だ。
CAMPFIRE|GitHub アカウント不正アクセスで最大 22 万 5,846 人分の漏えい可能性
公表日: 2026年4月24日 / 発生: 2026年4月2日22:50頃 / 漏えい規模: 最大225,846人分(うち口座情報を含むのは82,465件)
クラウドファンディング大手の株式会社CAMPFIRE は 4 月 24 日、システム管理に使用していた GitHub アカウントへの不正アクセスを巡り、顧客情報管理システム上の個人情報が漏えいした可能性があると公表した。当初 4 月 3 日にソースコードの閲覧可能性のみが発表されていたが、追加調査で漏えい範囲が大きく拡大した形だ。
漏えいの可能性がある対象は、(1) 2021 年 2 月以降にプロジェクトを実行したオーナーの氏名・住所・電話番号・口座情報など 12 万 929 件、(2) PayPal や後払いサービス「こんど払い」を利用した支援者、口座送金で返金を受けた支援者の口座情報など 13 万 155 件、(3) 2025 年 3 月 5 日までに登録したユーザーの氏名 1,282 件。クレジットカード情報は対象外で、現時点でデータがダウンロードされた痕跡や不正利用の被害は確認されていない。
中小企業への影響
GitHub などソースコード管理基盤は、アクセスキー・DB 接続文字列・本番環境への踏み台情報が眠る「最上流の鍵束」だ。アカウント 1 つの侵害が顧客 22 万人規模の漏えいに直結し得ることを今回の事案は示している。中小企業でも開発委託・SaaS 化が進んだ結果、社内サーバより GitHub・GCP・AWS の管理者アカウントの方が事業の根幹に近いケースが珍しくない。
推奨対応
- GitHub・GitLab・各種クラウドの管理者アカウントに多要素認証(MFA)を必須化する。「2 段階目を設定済みか」ではなく「物理キーまたは認証アプリで、SMS は禁止」のレベルまで揃える
- 個人アカウントではなく組織アカウントで Organization・Workspace を運用し、退職時の権限剥奪を仕組み化する
- 本番環境のシークレット(API キー・DB パスワード)はソースコードに含めず、シークレットマネージャに分離する。GitHub の secret scanning と push protection を有効化
- SaaS・開発基盤の監査ログを最低 90 日保持し、深夜帯や海外 IP からのログインをアラート化する
2りんかんイエローハット|サーバ侵害で会員情報・アプリパスワードが流出した可能性
公表日: 2026年4月23日 / 検知: 2026年4月20日夕刻 / 対象: 2りんかんアプリ会員(アプリは一部停止中)
カー用品大手イエローハットは 4 月 23 日、連結子会社で二輪用品店を展開する株式会社2りんかんイエローハットの管理サーバが第三者から不正アクセスを受け、会員情報が外部に流出した可能性があると発表した。4 月 20 日夕刻に侵入を検知し、緊急措置を講じた上で外部専門家とともに調査を進めている。
流出した可能性がある情報は、氏名・住所・電話番号・生年月日・性別・メールアドレス・会員番号・ポイント残高・アプリユーザー ID・アプリパスワード・車両情報など。クレジットカード情報は別システム管理のため対象外で、イエローハット店舗など他ブランドへの影響もないとしている。会社側は「2りんかんアプリ」のサービスを一部停止し、セキュリティ強化と再構築完了後に再開時期を案内する予定だ。
中小企業への影響
会員アプリのパスワードが流出すると、同じパスワードを他サービスでも使い回している顧客がパスワードリスト型攻撃の餌食になる。BtoC アプリを運営する中小企業では「自社が侵害された後、攻撃の二次被害が EC・SNS など他社に広がる」構図がそのまま信頼失墜と賠償リスクにつながる。アプリ会員制度を持つ業態は他人事ではない。
推奨対応
- 会員パスワードはハッシュ化(bcrypt や Argon2)で保存し、平文・可逆暗号化はやめる。社内のパスワード保管方式を再点検する
- 会員アプリ・会員 Web サイトに対しては、ログイン試行のレート制限と異常検知(同一 IP からの大量試行・地理的に不自然なアクセス)を設定する
- 侵害が起きた前提で、顧客に「パスワード変更通知」を即時送れる導線を平時から準備する。同じパスワードを他社で使っている顧客にも切り替えを促す案内を入れる
- サーバへの管理アクセスは VPN + MFA + IP 制限を最低ラインとし、ボーダー機器の脆弱性パッチ適用状況を月次で点検する
市立奈良病院|サイバー攻撃で電子カルテ停止、救急・外来を 2 日間休止
公表日: 2026年4月22日 / 検知: 2026年4月21日22:15頃 / 影響: 救急 4/22 03:00 から全面停止 → 4/24 08:30 全面再開
奈良市が運営する市立奈良病院は、4 月 21 日深夜にネットワーク監視装置がサイバー攻撃と思われる異常な通信を検知し、電子カルテをはじめとする院内システムに大規模障害が発生したと公表した。電子カルテ・眼科・生理検査の 3 システムが直接的な影響を受け、4 月 22 日午前 3 時から救急受け入れを全面停止、外来診療も原則制限・手書き運用に切り替えた。22 日に予定されていた手術は緊急性の高い 8 件に限定された。
その後、警察や専門ベンダーと連携してログ解析を進め、特定のネットワーク機器を経由した外部からの侵入の可能性が高いとみられている。4 月 24 日 8 時 30 分から救急を含む通常診療を全面再開し、個人情報の漏えい・データ破損・ウイルス感染はいずれも確認されなかったとしている。診療停止期間は約 2 日間に及んだ。
中小企業への影響
「ネットワーク機器の脆弱性が侵入経路」というパターンは病院に限らず、VPN ルータや UTM を社外接続の入り口にしている中小企業全般に当てはまる。今回は情報漏えいこそ確認されなかったものの、業務が 2 日間止まれば医療機関でも一般企業でも、機会損失と顧客への謝罪対応で大きな打撃となる。「データを取られなければセーフ」ではなく「事業継続を止められる」ことそのものがリスクだ。
推奨対応
- VPN・UTM・ファイアウォール等のネットワーク機器のファームウェアを月次で点検し、ベンダー公表の脆弱性情報を必ず確認する。サポート切れ機器は即時更新計画を立てる
- EDR / NDR で「異常通信」を検知し、セグメント間の横展開を遮断できる設計に見直す。検知から遮断までの時間を短くするほど被害は減る
- 主要業務システムが止まった場合の代替運用(手書き伝票・オフライン業務)を年 1 回は机上訓練し、復旧目標時間(RTO)を経営層と合意しておく
- 監視装置のアラートを「夜間でも担当者に届く」運用に統一する。第一発見が深夜帯となるケースが多く、検知から初動までのラグが被害を拡大させる
編集部まとめ
今週の 3 件に共通するのは、侵入起点が「自社のメインサーバ」ではなく、「開発基盤」「子会社の会員システム」「ネットワーク機器」だったという点だ。本丸を直接守るより先に、外周で利用している SaaS・開発アカウント・境界機器の運用がそのまま事業継続のリスクになる。中小企業はまず GitHub・クラウドコンソール・VPN/UTM の 3 点に MFA・ログ監視・パッチ適用が回っているかを月次で点検したい。
参考情報
- 株式会社CAMPFIRE「弊社システムへの不正アクセスによる個人情報漏えいの可能性に関するお詫びとご報告」(2026/4/24): https://campfire.co.jp/press/2026/04/24/campfire/
- ITmedia NEWS「CAMPFIRE、最大22.5万人分の個人情報漏えいか 一部口座情報も GitHubアカウントに不正アクセス」(2026/4/24): https://www.itmedia.co.jp/news/articles/2604/24/news126.html
- 株式会社イエローハット「当社連結子会社における個人情報漏えいの可能性に関するご報告」(2026/4/23): https://www.yellowhat.jp/information/2rinnkan/202604.html
- Security NEXT「『2りんかん』でサーバ侵害 - 顧客情報が流出した可能性」: https://www.security-next.com/183814
- ITmedia NEWS「市立奈良病院にサイバー攻撃か 電子カルテなどに影響、診療制限に」(2026/4/22): https://www.itmedia.co.jp/news/articles/2604/22/news137.html
本記事は AND SECURE 編集部(情報漏えい防ぐくん運営)が公開情報を基に作成しています。記載内容は公表時点の情報に基づくため、最新情報は各社公式発表をご確認ください。
