eSecurity Planet content and product recommendations are editorially independent. We may make money when you click on links to our partners. Learn More
Accentureは、あるサイバー攻撃者がソースコードや機密性の高い技術ファイルを含む35GBのデータを盗んだと主張したことを受け、セキュリティインシデントの発生を確認しました。
このITサービス大手はこの事案について、孤立した事案であり原因はすでに修復済みであると説明し、業務運営やサービス提供への影響はなかったとしています。
Accentureの事案から見える重要ポイント
- Accentureは、攻撃者がソースコード、クラウド認証情報、その他の機密性の高い技術データ35GBを窃取したと主張したことを受け、セキュリティインシデントの発生を確認しました。
- 盗まれたソースコードや流出したクラウド認証情報は、アプリケーションの脆弱性を露呈させたり、攻撃者に開発環境やクラウド環境への侵入経路を与えたりすることで、長期的なリスクを高める可能性があります。
- 組織は侵害が疑われる場合、直ちに流出した認証情報をローテーションし、リポジトリおよびクラウドのアクティビティを監査し、侵害されたアカウントやトークンが実際に使用されたかどうかを検証すべきです。
- 今回のAccentureの侵害は、最小権限、フィッシング耐性のあるMFA、継続的な監視、そしてソースコードとクラウド認証情報に対する強固な管理体制によって開発環境を保護することの重要性を改めて示しています。
Accentureの侵害について判明していること
今回の確認は、「888」として知られるサイバー攻撃者がサイバー犯罪フォーラムに投稿したことがきっかけとなりました。この人物は、Accentureの侵害は2026年7月に発生し、「35GBをわずかに超える」ソースコードが盗まれたと主張しています。
報道によれば、この攻撃者はデータの販売を持ちかけており、盗まれたファイルにはソースコード、RSA鍵、SSH鍵、Azureの個人用アクセストークン、Azure Storageのアクセスキー、設定ファイルが含まれていると主張しています。
これが事実であれば、こうした種類のデータは通常のデータ流出以上のリスクを生み出す可能性があります。ソースコードは、攻撃者がアプリケーションの構造を把握したり、脆弱性を特定したり、ハードコードされた機密情報を探し出したりする手がかりになり得るためです。
アクセスキーや個人用アクセストークンを含む流出したクラウド認証情報も、有効かつ無効化されていない場合、開発環境やストレージ、クラウド環境への侵入経路を作り出す可能性があります。
ただし、本記事の公開時点では、いくつかの重要な詳細は依然として確認が取れていません。
Accentureは侵害の発生自体は認めたものの、攻撃者が主張するデータの量や種類については裏付けを取っていません。
同社はまた、攻撃者がどのようにしてアクセス権を得た可能性があるのか、主張されている認証情報が有効なものだったのか、顧客データに影響があったのかについても明らかにしていません。
主張を裏付けるため、この攻撃者は、伏せ字にされたAccentureのホスト名からAzure DevOpsリポジトリがクローンされている様子を示すとされるスクリーンショットを公開しました。
ソースコードとクラウド認証情報が重要な理由
今回のAccentureの侵害は、組織がコードリポジトリ、開発者の認証情報、そしてクラウドアクセスに対して強固な管理体制を敷く必要性を浮き彫りにしています。
開発環境には、デプロイスクリプト、設定ファイル、アクセストークン、社内文書など、攻撃者にとって有用な機密資産が含まれていることが少なくありません。
侵害が業務運営に支障をきたさなかった場合でも、認証情報が使い回されていたり、機密情報が有効なまま残っていたり、流出したコードがセキュリティ上の弱点を明らかにしたりすれば、盗まれたデータが長期的なリスクを高める可能性があります。
組織はソースコード流出にどう対応すべきか
ソースコードやクラウド認証情報の流出が疑われる場合、セキュリティチームは次の対応策を優先すべきです。
- 流出した鍵、トークン、認証情報をすべてローテーションすることで、侵害された可能性のあるアクセス権を直ちに無効化します。
- コードリポジトリのアクセスログを確認し、不正なクローンやダウンロード、その他の不審な行動がないか調べます。
- Azure DevOpsのアクティビティを監査し、異常なリポジトリアクセス、権限変更、アカウントの挙動を特定します。
- クラウドの認証ログを監視し、不審なサインインや権限昇格の試み、異常なアクセスパターンがないか確認します。
- 流出した認証情報が実際に使用されたかを検証し、侵害が疑われる後の不正アクティビティの範囲を把握します。
また、各チームはソースコード内にハードコードされた機密情報がないかスキャンし、ビルドパイプライン、ストレージアカウント、デプロイワークフローが改ざんされていないことを確認する必要があります。
今回の事案は、最小権限の原則の重要性も改めて浮き彫りにしています。
クラウド認証情報や開発者用トークンは、範囲を狭く限定し、継続的に監視した上で、不要になった時点で自動的に失効させるべきです。
組織はまた、開発者向けプラットフォームにフィッシング耐性のある多要素認証(MFA)を義務付け、可能な限り短期間で失効する認証情報の運用を徹底し、コード・クラウド・アイデンティティの各システム全体にわたって詳細な監査証跡を維持すべきです。
Accentureの侵害が企業セキュリティにもたらす意味
同じ攻撃者は以前にも、2024年に発生したサードパーティ経由の侵害を受けて盗んだAccentureの従業員データを販売しようと試みたことがあります。
その過去の経緯が今回の主張を裏付けるものではありませんが、大手コンサルティング企業やテクノロジー企業が、そのコードベース、クラウド環境、従業員データ、そして企業顧客との関係性ゆえに、依然として高い価値を持つ標的であり続けていることを改めて示しています。
詳細がさらに判明するまでの間、この侵害は、開発環境の保護が今や企業セキュリティの中核であることを再認識させる出来事として受け止めるべきでしょう。
攻撃者がソースコードや開発環境を標的にする中、組織はサードパーティや依存関係がもたらすリスクを軽減するため、ソフトウェアサプライチェーン全体のセキュリティ強化にも取り組む必要があります。
Ken Underhill
Ken Underhill is an award-winning cybersecurity professional, bestselling author, and technology leader with more than 25 years of experience in IT, cybersecurity, and risk management. His career spans network administration, incident response, penetration testing, and entrepreneurship, giving him firsthand experience helping organizations reduce risk and ensure compliance. Ken is also a former nurse and combat medic and he uses this background to break down complex cybersecurity topics into digestible content for a broad, global audience.
A multi-exit cybersecurity founder, Ken has spent decades helping organizations strengthen their security posture, manage risk, and navigate complex technology challenges. His expertise includes overall cybersecurity strategy, cloud security, incident response, risk management, security awareness, and emerging threats affecting businesses. Ken is also an advisor to multiple startups on AI security and risk.
In addition to his hands-on industry experience, Ken is a cybersecurity newsletter writer for TechnologyAdvice, where he covers cybersecurity news/trends and actionable best practices for business and IT professionals. Ken is also an educator with over 2 million people going through his courses over the years. He has won the Global Cybersecurity 40 under 40 (2x winner), the Cyber Champion award from Women’s Society of Cyberjutsu, and the 2019 SC Media award for Outstanding Educator. Ken is also a volunteer with organizations like Minorities in Cybersecurity, Black Girls Hack, and the Whole Cyber Human Initiative, which helps veterans transition into security careers.
Ken holds a Master of Science in Cybersecurity and Information Assurance from Western Governors University and a Bachelor of Science in Information Systems, with a major in Cybersecurity Management, from Strayer University. His certifications include the Certificate of Cloud Security Knowledge (CCSK), Certified Ethical Hacker (CEH), and Computer Hacking Forensic Investigator (CHFI) and he is a former adjunct professor of Digital Forensics. Ken also had a streaming cybersecurity television show from 2020-2022 that reached over 200K monthly viewers around the world.
His work and expertise have been featured in Forbes, Reader’s Digest, Medium, TechRepublic, Fox, NBC, CBS, Dark Reading, MSN Money, and other leading publications and media outlets, making him a trusted voice on cybersecurity, election security, and privacy.