「888」と名乗る脅威アクターが、サイバー犯罪フォーラムに投稿を行い、IT サービス・コンサルティング大手のアクセンチュアから盗み出したとされる データを、約35GB相当のソースコードおよび関連する認証情報として販売する旨のリスト投稿を掲載しました。
2026年7月6日付のこのフォーラム投稿では、「2026年7月、アクセンチュアはデータ侵害に見舞われ、その結果、35GBを少し超えるソースコードが同社から盗み出された」と主張しています。
CSNの報道によれば、流出したとされる資料にはソースコード、RSA鍵、SSH鍵、Azure Personal Access Token(PAT)、Azure Storage Access Key、設定ファイルなどが含まれるとされています。
「888」がアクセンチュアを標的にしたと主張するのは今回が初めてではありません。同アクターは2024年にも過去に一度、未検証のインシデントで同社を狙ったと報じられていましたが、その際アクセンチュアは公にこれを否定していました。
主張の信憑性を高めるため、このアクターはAzure DevOpsに関連するコマンドライン出力を示すサンプルスクリーンショットを公開しました。そこには「dev.azure.com」エンドポイントに対するcurlリクエストとみられる操作の後、git cloneを実行した様子が写っています。
キャプチャされた出力には、「121123_AtriasTalentAcademy」という名称のリポジトリが記されており、伏せ字処理されたaccenture.comの本番URL配下でホストされていると説明されています。プロジェクトのメタデータ、公開設定フラグ、Azure Repos用のリモートURLなども含まれています。
サンプルにはgit cloneの処理途中の様子も示されており、数千のオブジェクトを毎秒数十メガバイトの速度で受信しています。アクターはこれを、非公開リポジトリへの実際のアクセス権を持っている証拠として提示しています。
この投稿は「一度限りの販売(One Time Sale)」として位置付けられており、支払いはMonero(XMR)のみで受け付けるとされています。Moneroは取引の追跡を難しくすることから、サイバー犯罪フォーラムで好んで使われるプライバシー重視の暗号資産です。これまでの報道では価格は公表されていません。
アクセンチュアは侵害があったこと自体は認めているものの、脅威アクターが主張する被害範囲や具体的なデータの種類については検証していません。
同社はBleepingComputerに対し、次のように述べています。「当社はこの限定的な事案を把握しており、発生源はすでに是正済みです。アクセンチュアの業務およびサービス提供に影響はありません」
この抑制されたコメントからは、事態が拡大する前に封じ込めが行われたことがうかがえますが、アクターが主張するデータの量や性質については肯定も否定もしていません。
セキュリティ担当チームには、法医学的な証拠やデータサンプルの流出によってより強力な裏付けが得られるまで、主張されている具体的なデータの種類や量については未確認情報として扱うことが推奨されます。
サイバー犯罪フォーラムにおける脅威アクターの主張は、販売の信憑性を高めるために被害範囲を誇張したり、過去の侵入で得たデータを装いを変えて再利用したりすることが少なくありません。とはいえ、Azure DevOpsを利用している組織は、真偽が確認されているかどうかにかかわらず、これを予防的な警戒シグナルとして受け止めるべきです。
具体的には、本番リポジトリに紐づくAzure Personal Access Tokenのローテーション、Azure Storage Access Keyの不審な利用パターンの監査、リポジトリのアクセスログにおける異常なクローン活動の確認などが求められます。
また、SSH鍵およびRSA鍵の利用状況を既知の許可済みエンドポイントと照合し、主張を裏付けうるデータサンプルの流出がないか監視することも重要です。
アクセンチュアがグローバルなITサービスプロバイダーとしての規模を持つことを踏まえると、たとえ「限定的な」インシデントであっても、顧客やパートナー企業のコードベースがアクセンチュア管理下のAzure DevOps環境と接点を持ちうる以上、下流への警戒を怠るべきではありません。
翻訳元: https://cyberpress.org/accenture-confirms-breach/