複数の現職および元Target従業員がBleepingComputerに連絡し、脅威アクターが共有したソースコードとドキュメントが実際の社内システムと一致することを確認した。
現職の従業員はまた、TargetのEnterprise Gitサーバーへのアクセスを制限する「加速」されたセキュリティ変更を告知する社内コミュニケーションも共有した。この変更は、BleepingComputerが流出疑惑について同社に最初に連絡した翌日に展開された。
従業員が流出資料の真正性を検証
昨日、BleepingComputerは独自に報じた 。ハッカーがTargetの内部ソースコードを販売していると主張しており、公開ソフトウェア開発プラットフォームであるGitea上に、盗まれたリポジトリのサンプルと思われるものを公開したという。
それ以降、Targetの社内CI/CDパイプラインおよびインフラに直接の知見を持つ複数の情報源が、流出データの真正性を裏付ける情報を提供してきた。
元Target従業員は、サンプルに見られる「BigRED」や「TAP [Provisioning]」といった社内システム名が、同社でクラウドおよびオンプレミスのアプリケーション展開とオーケストレーションに使用されている実在のプラットフォームに対応していることを確認した。
現職および元Target従業員の双方はまた、Hadoopデータセットを含む技術スタックの要素が、流出サンプルで参照されている内容と社内で使用されているシステムと一致することも確認した。
これには、VelaをベースにしたカスタマイズCI/CDプラットフォームを中心に構築されたツール群(Targetが過去に公に言及したこともある事実)に加え、第三者のビジネスインテリジェンスからも明らかなJFrog Artifactoryのようなサプライチェーン基盤の利用も含まれる。
従業員らはまた、「blossom IDs」として社内で知られるものなど、独自のプロジェクトコードネームや社内分類識別子についても、それぞれ独立に言及しており、これらが流出データセットに含まれている。
これらのシステム参照、プロジェクト名、そしてサンプル内の一致するURLの存在は、当該資料が捏造または汎用的なコードではなく、実在する社内開発環境を反映していることをさらに裏付けている。
Targetの従業員の方、または本件に関する情報をお持ちの方は、機密扱いでオンラインで情報提供 いただくか、Signal で@axsharma.01までご連絡ください。
Target、「加速」されたアクセス変更を展開
匿名を希望した現職従業員は、BleepingComputerがTargetに連絡した翌日に、シニアプロダクトマネージャーが迅速なセキュリティ変更を発表した全社向けSlackメッセージのスクリーンショットも共有した。
「2026年1月9日付で、git.target.com(TargetのオンプレミスGitHub Enterprise Server)へのアクセスには、Target管理ネットワーク(社内拠点内またはVPN経由)への接続が必要になりました。この変更は加速して実施され、GitHub.comへのアクセスの扱いと整合しています。」
Enterprise Gitサーバーは、認証済み従業員のみに表示されるプライベートリポジトリと、公開のオープンソースプロジェクトの両方をホストできる。
しかしTargetでは、オープンソースコードは一般的にGitHub.com上でホストされており、git.target.comは社内開発に使用され、従業員の認証が必要となっている。
昨日報じたとおり、git.target.comは先週までウェブ経由でアクセス可能で、従業員にログインを促していた。現在は公開インターネットから到達できなくなっており、Targetの社内ネットワークまたは企業VPNからのみアクセス可能となっている。これは、同社の独自ソースコード環境へのアクセスがロックダウンされたことを示している。
データ流出、侵害、それとも内部関与?
データがどのようにして脅威アクターの手に渡ったのか、その根本原因はまだ特定されていない。
しかし、Hudson RockのCTO兼共同創業者であるセキュリティ研究者Alon GalはBleepingComputerに対し、同氏のチームが2025年9月下旬にインフォスティーラーマルウェアに感染したTarget従業員のワークステーションを特定し、その端末がIAM、Confluence、Wiki、Jiraを含む社内サービスにアクセスできたと語った。
「IAM、Confluence、wiki、JiraにアクセスできるTarget従業員の最近感染したコンピューターがある」とGalはBleepingComputerに語った。
「特に重要なのは、私たちが確認した数十人の感染したTarget従業員のうち、IAMの資格情報を持っていた者はほとんどおらず、wikiへのアクセスを持っていた者は、別の1件を除いて誰もいなかった点だ。」
この感染が、現在販売が宣伝されているソースコードと直接関連しているという確認はない。しかし、脅威アクターがデータを流出させ、数か月後になってから収益化やリークを試みることは珍しくない。例えば、Clopランサムウェア集団は、同年7月の時点で盗まれていたデータについて、2025年10月にデータ漏えいの脅しを通じて被害者への恐喝を開始した(その年の7月の早い段階に盗まれたデータに対して)。
脅威アクターは、完全なデータセットのサイズは約860GBだと主張している。BleepingComputerが確認できたのは、5つの部分的なリポジトリからなる14MBのサンプルのみだが、従業員らは、この限定的なサブセットでさえ本物の社内コードとシステム参照を含んでいると述べており、はるかに大きいアーカイブに何が含まれ得るのか、その範囲と機微性に疑問が生じている。
BleepingComputerは先週、GiteaのリポジトリリンクをTargetと共有し、その後、調査の助けとなるようHudson Rockの脅威インテリジェンスの所見を伝達することも申し出た。同社は追加の質問に回答しておらず、侵害の調査や内部関与の可能性を調べているかどうかについても沈黙を保っている。
