【インシデント速報】4月27日|CAMPFIRE 22万件漏えい・2りんかん不正アクセス・モノレールPC紛失

今日のポイント:
GitHubアカウント乗っ取り経由で22万人超の個人情報が漏えいしたCAMPFIREの事案は、ソースコード管理基盤の権限管理を見直す契機。アプリパスワードまで持ち出された可能性のある2りんかんは、ハッシュ化と多要素認証の必要性を改めて示した。物理的な「廃棄PCの紛失」が大規模な情報事故になり得る点も、中小企業の管理台帳運用に直結する論点である。

1. CAMPFIRE:GitHub不正アクセス経由で最大22万5,846件の個人情報漏えい可能性

公表日:2026年4月24日/検知:4月3日/対象システム:開発用GitHubアカウント・顧客情報DB

クラウドファンディング大手のCAMPFIRE(東京都渋谷区)は4月24日、システム管理用GitHubアカウントへの不正アクセスを起点に、最大22万5,846人分の個人情報が漏えいした可能性があると発表した。同社は4月3日に侵害を覚知して公表していたが、4月21日にデータベースへのアクセス痕跡を確認し、影響範囲を確定させた。

漏えいの可能性がある情報は、(1)2021年2月以降にクラウドファンディングを実行したプロジェクトオーナーの氏名・住所・電話番号・口座情報など12万929件、(2)PayPal決済利用者・後払い「こんど払い」利用者・口座送金返金を受けた支援者の口座情報を含む13万155件、(3)2025年3月5日までに登録したパートナーの氏名1,282件——の3カテゴリに分かれる。このうち8万2,465件は金融機関の口座情報を含む。クレジットカード情報は別管理のため対象外。専用相談窓口は4月28日に開設される。

中小企業への影響

「GitHubアカウントの乗っ取り→本番DBへの到達」という今回の経路は、開発体制を持つ中小SaaS事業者が直面しやすい構図である。リポジトリにDB接続情報や本番APIキーがコミットされていた、PAT(Personal Access Token)の有効期限が長すぎた、SSO・MFAが特定アカウントだけ未強制だった、といった「よくある穴」のいずれか1つで類似の侵害が成立する。クラウドファンディング利用企業も、口座情報を扱うサービスの事故報告窓口を確認しておきたい。

推奨対応

  • GitHub・GitLab等の組織アカウントで多要素認証を全員強制(オーナー権限保有者は物理キー併用が望ましい)
  • 個人発行のPersonal Access Tokenを棚卸し、不要なものを失効。期限90日以下を上限に運用
  • リポジトリ内のシークレット混入をTruffleHog等で機械的に検出し、混入していた認証情報は即時ローテーション
  • 本番DBへの到達経路をIP制限・VPN必須・bastion経由に限定し、開発端末から直接接続できる構成を改める
  • CAMPFIRE経由でクラウドファンディングを実施した企業・個人は、4月28日開設の相談窓口で自社が対象か確認

2. 2りんかん(イエローハット子会社):会員サーバへの不正アクセス、アプリパスワードも漏えい対象

公表日:2026年4月23日/検知:4月20日夕刻/対象システム:会員専用サーバ・「2りんかんアプリ」

イエローハット(東証プライム)は4月23日、連結子会社の2りんかんイエローハットが管理する会員専用サーバが第三者からの不正アクセスを受け、顧客の個人情報が外部へ漏えいした可能性があると発表した。検知は4月20日夕刻で、ネットワークを直ちに遮断し、外部専門家によるフォレンジック調査を進めている。

漏えいの可能性がある情報は、氏名・住所・電話番号・生年月日・性別・メールアドレス・2りんかん会員番号・ポイント残高・アプリユーザーID・アプリパスワード・車両情報。クレジットカード情報は別サーバ管理のため対象外。影響件数は本稿時点で未公表。「2りんかんアプリ」は被害拡大防止のためサービスを一部停止しており、再開時期は未定。

中小企業への影響

会員アプリのパスワードが漏えい対象に含まれている点が最も重い。多くの利用者は他サービスとパスワードを使い回しており、ECサイト・SNS・銀行アプリへのリスト型攻撃に流用される懸念がある。中小の小売・サービス業で会員アプリを運用している事業者は、パスワードを平文・可逆暗号化で保存していないか、ハッシュ化アルゴリズムが旧式のMD5/SHA-1のままになっていないか、即座に確認したい。

推奨対応

  • 自社会員DBのパスワード保存方式をbcrypt/Argon2など適切なハッシュ関数に統一
  • 2りんかんアプリ利用者は同一パスワードを使い回している他サービスのパスワードを優先的に変更
  • 会員向けに「弊社からパスワード再設定を促すSMS等を送ることはありません」と告知し、便乗フィッシング被害を抑止
  • アプリ側に総当たり/リスト型攻撃検知(同一IPからの連続失敗、地域変動)を組み込む

3. 東京モノレール:廃棄予定PC1台紛失、利用客・社員ら約3,400人分の個人情報を含む

公表日:2026年4月23日/紛失判明:4月3日/対象:羽田空港第2ターミナル駅で使用していた業務用PC1台

東京モノレール(JR東日本グループ)は4月23日、羽田空港第2ターミナル駅で使用していた業務用パソコン1台を紛失したと発表した。当該PCには、忘れ物相談を受けた利用客の氏名・連絡先・相談内容や、社員の勤務記録など、合計で約3,400人分の個人情報が保存されていた。

同PCは2025年8月以降、廃棄を待つ目的で羽田空港第1ターミナル駅の倉庫に保管されていたが、2026年4月3日の確認作業で所在不明が判明。約8カ月間、紛失を検知できなかった点が問題視されている。外部流出は現時点で確認されていないが、盗難の可能性も否定できないとして警視庁に相談した。

中小企業への影響

「廃棄予定」「リース返却前」「故障で運用停止」といった運用ラインから外れた端末が、台帳上の管理から脱落した結果として大規模な個人情報事故に発展する典型例である。中小企業ではキッティング・廃棄プロセスがITベンダー任せになっているケースが多く、現物の所在管理が形骸化しやすい。発覚まで8カ月という時間も、人手不足で棚卸しが回っていない組織には他人事ではない。

推奨対応

  • IT資産台帳に「使用中/廃棄待ち/返却済」のステータスを追加し、四半期に1回の現物棚卸しを義務化
  • 廃棄予定端末は施錠保管庫に集中保管し、入出庫を管理票で記録
  • 業務PCには起動時BitLocker等のディスク暗号化を必須化(紛失時のデータ漏えいを物理的に防ぐ)
  • 処分は産廃業者ではなく情報機器専門業者に依頼し、データ消去証明書を必ず受領
  • 個人情報を扱う端末は、廃棄前に管理者立会いで物理破壊または専用ツールでの完全消去を実施

4. 青山メイン企画:1月のランサムウェア攻撃、システム全面復旧は6月見込み

続報:2026年4月24日報道/被害発生:2026年1月12日

株式会社青山メイン企画は、1月12日にサーバおよび接続端末上のファイルが暗号化され閲覧不能となるランサムウェア被害を受けた件で、4月時点での復旧見通しを公表した。同社サーバ等にはデータ公開を示唆し金品を要求する英文テキストが残されていたが、復旧作業は外部専門家のフォレンジック調査・ダークウェブ監視と並行して進めており、システムの全面復旧は6月中を予定している。

復旧対応として、(1)全システムのパスワード再設定・強化、(2)社内PCを全台新品に交換しクリーン環境を再構築、(3)外部専門業者によるフォレンジック・ダークウェブ調査、(4)ネットワーク全体のセキュリティ監視継続——を実施。発生から復旧までおよそ5カ月を要する見通しで、ランサムウェア被害が業務に与える影響の長期性を改めて示した。

中小企業への影響

「全PC交換+全システム再構築」を要する規模の被害は、年商数十億円クラスの中堅企業でもキャッシュアウトで億単位、業務停止損失を含めれば数億円規模に達する。バックアップを物理隔離していなかった、ドメイン管理者権限を1つに集中させていた、EDRを入れていなかった——どれか1つの不備で「5カ月停止」が現実化する。BCPは「24時間以内に何を再開するか」だけでなく、「半年止まる前提で何が回るか」まで設計する必要がある。

推奨対応

  • バックアップは「3-2-1ルール」で、最低1世代はオフライン(テープ・取り外し可能ディスク)に保管
  • Active Directory管理者は専用端末に分離し、日常業務PCから操作しない(Tier 0設計)
  • EDR導入と24時間監視(自社運用が難しければMDRサービス契約)
  • 事業中断保険・サイバー保険の補償範囲を「フォレンジック費用」「PC全台入替費用」「営業停止損失」まで拡張
  • 取引先への影響を想定した代替連絡手段(クラウド型メール・SMS一斉配信)を事前準備

編集部まとめ

4月下旬の事案は「外部サービスの認証情報管理」「会員アプリのパスワード保護」「物理資産台帳」「ランサムウェア後の長期復旧」と、中小企業が後回しにしがちな4領域を一度に問い直す内容となった。特にCAMPFIREの事案は、本番DBへの到達経路が「GitHubアカウント1つ」だった可能性を示しており、ソースコード管理プラットフォームのアカウント保護を本番システムと同じ重要度で扱う必要がある。今週中に最低限、組織アカウントのMFA強制状況とPATの棚卸しを実施したい。

参考情報

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です