アクセンチュアでデータ侵害、35GBのソースコードとAzure DevOps認証情報が流出

アクセンチュアは現在、「888」というエイリアスを使う脅威アクターがサイバー犯罪フォーラム上で約35GBの盗難データを販売していると主張している件について、データ侵害の可能性を調査しています。データにはソースコードや機密性の高い認証情報が含まれるとされています。

2026年7月6日に投稿されたこの出品情報によると、今回の侵害によってソースコードリポジトリ、RSAおよびSSH鍵、Azureパーソナルアクセストークン(PAT)、Azureストレージアクセスキー、各種設定ファイルなどの独自資産が窃取されたとされています。

アクセンチュアのデータ侵害

脅威アクターの主張によると、侵害は2026年7月に発生し、内部の開発環境への不正アクセスが行われたとのことです。

侵入の具体的な手口は依然として不明ですが、流出したとされる資産の性質から、開発パイプラインの侵害、あるいはAzure DevOpsインフラに関連する認証情報の漏えいが関与していたと考えられます。

なお、「888」がアクセンチュアを標的にしたと主張するのは今回が初めてではありません。同アクターは2024年に発生したとする過去の事案にも言及していますが、この件についてアクセンチュアは公式に否定しています。

主張の裏付けとして、このアクターはAzure DevOpsサービスに関連するコマンドライン操作を示すスクリーンショットを公開しました。この出力には「dev.azure.com」エンドポイントへのcurlリクエストが含まれており、続いてプライベートリポジトリにアクセスしたとみられるgit clone操作が確認できます。

サンプルに記載されているリポジトリ「121123_AtriasTalentAcademy」は、アクセンチュア関連ドメイン上でホストされているとされ、メタデータにはプロジェクトの公開設定やAzure ReposのURLが含まれています。これはCSNが報じています

スクリーンショットにはさらに、数千件のオブジェクトを高速で転送する部分的なgit clone処理も示されており、脅威アクターはこれを内部リポジトリへの実際の認証済みアクセスの証拠として提示しています。こうした証跡は捏造も可能ですが、アンダーグラウンドフォーラムでは信頼性を高めて買い手を惹きつけるためによく使われる手法です。

Image

この出品情報は「一回限りの販売」とラベル付けされており、支払いはモネロ(XMR)のみで受け付けるとされています。モネロはプライバシー保護機能の高さからサイバー犯罪者に好まれる暗号資産です。本記事の執筆時点では、このデータセットの公開価格は明らかになっていません。

アクセンチュアはこの事案を認めているものの、流出したとされるデータの範囲や機密性については確認していません。同社は声明で次のように述べています。「当社はこの単発の事案を把握しており、発生源をすでに修復済みです。

アクセンチュアの業務運営およびサービス提供への影響はありません」。この声明は封じ込めが完了したことを示唆していますが、脅威アクターの主張を裏付けるものではありません。

セキュリティ専門家は、侵害の詳細は依然として未検証であり、フォレンジック分析や独立した情報流出によって裏付けられるまでは暫定的な情報として扱うべきだと注意を促しています。とはいえ、Azure DevOpsの認証情報やアクセストークンへの言及は、サプライチェーンリスクや企業コードベースへの不正アクセスの可能性について懸念を高めるものです。

ネットワークセキュリティソリューション

Azure DevOpsを利用している組織は、パーソナルアクセストークンを積極的にローテーションし、リポジトリのアクセスログを監査し、認証情報の漏えいリスクを見直すことが推奨されます。さらに、不審なgit活動を監視し、最小権限アクセス制御を徹底することで、同様のシナリオにおける被害を最小限に抑えられます。

Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN

翻訳元: https://gbhackers.com/accenture-data-breach-exposes-35gb-source-code/

ソース: gbhackers.com