CAMPFIRE 不正アクセス(最大22.5万件)|支援者が今すべきこと

何が起きたか
2026年4月、CAMPFIREが外部サービス(GitHub)アカウントへの不正アクセスを起点としたサイバー攻撃を公表しました。4月3日早朝にGitHubリポジトリ上の不審な操作を検知し、調査の結果、個人情報漏えいの可能性がある対象は重複を除いて225,846件(ユニーク)。同社は4月24日に第一報、6月2日に外部専門家による調査結果を公表しました。
漏えいの可能性がある情報・ない情報
- 対象になりうる情報:氏名・住所・電話番号・メールアドレス・銀行口座情報など。2021年2月以降のプロジェクト実行者情報(約120,929件)、PayPal/あと払い/銀行返金を利用した支援者情報(約130,155件)などが含まれるとされます。
- 対象外:クレジットカード情報は含まれていません。
- 外部流出:フォレンジック調査では「個人情報を含むデータファイルが外部へ転送された痕跡は確認されず」。あくまで“漏えいの可能性”という段階です。
支援者・実行者がすべきこと
- CAMPFIREの公式お知らせを一次情報として確認(下記出典)。自分が対象か、個別連絡の有無をチェック。
- 同じパスワードの使い回しをやめる:他サービスで同一パスワードを使っているなら変更を。
- 不審なメール・SMS・電話に警戒:漏えいの可能性がある情報を悪用した“なりすまし連絡”に注意。CAMPFIRE名乗りでも、リンクは公式から辿る。
- 口座・取引の不審な動きを確認:実行者で口座情報が対象なら、入出金の監視を。
- CAMPFIREは専用窓口(0120-188-070/10:00〜19:00)を開設しています。
編集部メモ
クラファンは「お金」と「個人情報」が集まる場。プラットフォームの規模(CAMPFIREは累計1,000億円・会員510万人)が大きいほど、攻撃対象としての価値も上がります。これはCAMPFIRE固有の落ち度を断じる記事ではなく、“どのプラットフォームでもセキュリティ事故は起こりうる”という前提で、利用者側の自衛(パスワード管理・不審連絡への警戒)を習慣化しようという注意喚起です。最新状況は必ず公式で。※本件は2026年の事案で、続報により内容が更新される可能性があります。
