ターゲットの現職および元従業員の複数名がBleepingComputerに連絡し、脅威アクターがオンラインで共有したソースコードとドキュメントが、実在する社内システムと一致することを確認した。
現職の従業員はまた、「加速された」セキュリティ変更を告知する社内コミュニケーションも共有した。これはターゲットのEnterprise Gitサーバーへのアクセスを制限するもので、BleepingComputerが同社にこの疑惑の流出について最初に連絡した翌日に展開された。
従業員が流出資料の真正性を検証
昨日、BleepingComputerは独占報道 として、ハッカーがターゲットの社内ソースコードを販売していると主張していることを伝えた。公開ソフトウェア開発プラットフォームであるGitea上に、盗まれたリポジトリのサンプルと思われるものを公開した後のことだ。
それ以降、ターゲットの社内CI/CDパイプラインおよびインフラに直接の知見を持つ複数の情報源が、流出データの真正性を裏付ける情報を提供してきた。
元ターゲット従業員は、サンプルに見られる「BigRED」や「TAP [Provisioning]」といった社内システム名が、同社でクラウドおよびオンプレミスのアプリケーション展開とオーケストレーションに使用されている実在のプラットフォームに対応していることを確認した。
現職および元従業員の双方はまた、Hadoopのデータセットなど、流出サンプルで言及されている技術スタックの要素が、社内で使用されているシステムと整合していることも確認した。
これには、Velaと呼ばれるカスタマイズされたCI/CDプラットフォームを中心に構築されたツール群(ターゲットが過去に公に言及したこともある事実)や、第三者のビジネスインテリジェンスからも明らかな、JFrog Artifactoryのようなサプライチェーン基盤の利用も含まれる。
従業員らはまた、流出データセットに現れる、社内で「blossom IDs」として知られるものなど、独自のプロジェクトコードネームや分類用識別子についても、それぞれ独立に言及した。
これらのシステム参照、従業員名、プロジェクト名、そしてサンプル内で一致するURLの存在は、この資料が捏造や一般的なコードではなく、実在する社内開発環境を反映していることをさらに裏付けている。
あなたがターゲットの従業員である、またはこの事案に関する情報をお持ちの場合は、機密扱いでオンラインで情報提供 いただくか、Signal で@axsharma.01までご連絡ください。
ターゲットが「加速された」アクセス変更を展開
匿名を希望した現職従業員は、BleepingComputerがターゲットに連絡した翌日に、シニアプロダクトマネージャーが突然のセキュリティ変更を告知した全社向けSlackメッセージのスクリーンショットも共有した。
「2026年1月9日付で、git.target.com(ターゲットのオンプレミスGitHub Enterprise Server)へのアクセスには、ターゲット管理のネットワーク(拠点内またはVPN経由)への接続が必要になりました。この変更は前倒しで実施され、GitHub.comへのアクセスの扱い方と整合しています」と、マネージャーが述べているのが確認できる。
Enterprise Gitサーバーは、認証された従業員にのみ表示されるプライベートリポジトリと、公開のオープンソースプロジェクトの両方をホストできる。
しかしターゲットでは、オープンソースコードは一般的にGitHub.com上でホストされており、git.target.comは社内開発に使用され、従業員の認証が必要となっている。
昨日報じたとおり、git.target.comは先週までウェブ経由でアクセス可能で、従業員にログインを促していた。現在はパブリックインターネットから到達できなくなっており、ターゲットの社内ネットワークまたは企業VPNからのみアクセス可能となっている。これは同社の独自ソースコード環境へのアクセスがロックダウンされたことを示している。
データ流出、侵害、それとも内部関与?
データがどのようにして脅威アクターの手に渡ったのか、その根本原因はまだ特定されていない。
しかし、Hudson RockのCTO兼共同創業者であるセキュリティ研究者Alon GalはBleepingComputerに対し、同氏のチームが2025年9月下旬にインフォスティーラーマルウェアに感染し、社内サービスへの広範なアクセス権を持っていたターゲット従業員のワークステーションを特定したと述べた。
「IAM、Confluence、wiki、Jiraにアクセスできるターゲット従業員の、最近感染したコンピューターがある」とGalはBleepingComputerに語った。
「これは特に重要です。私たちが確認したターゲット従業員の感染例は数十件ありますが、IAMの資格情報を持っていた例はほとんどなく、wikiへのアクセスがあった例は、別の1件を除いてありませんでした。」
この感染が、現在販売が宣伝されているソースコードと直接結び付いているという確認はない。しかし、脅威アクターがデータを持ち出し、数か月後になってから収益化や流出を試みることは珍しくない。例えば、Clopランサムウェア集団は、同年7月の時点で盗まれていた資料について、2025年10月にデータ流出の脅しを通じて被害者への恐喝を開始した(その年の7月にはすでに盗まれていたもの)。
脅威アクターは、完全なデータセットのサイズは約860GBだと主張している。BleepingComputerが確認できたのは、5つの部分的なリポジトリから成る14MBのサンプルのみだが、従業員らは、この限定的なサブセットでさえ本物の社内コードとシステム参照を含んでいると述べており、はるかに大きいアーカイブにはどの程度の範囲と機微性の内容が含まれ得るのか、疑問が生じている。
BleepingComputerは先週、Giteaのリポジトリリンクをターゲットと共有し、その後、調査の助けとなるようHudson Rockの脅威インテリジェンスの所見を伝達することも申し出た。同社は追加の質問に回答しておらず、侵害や内部関与の可能性を調査しているかどうかについても沈黙を保っている。
