Accenture(アクセンチュア)がデータ漏洩を認めた。ハッカー集団「888」が、同社から約35GBのソースコードや認証情報を盗んだと主張し、サイバー犯罪フォーラムで販売を開始したことを受けての対応だ。
何が盗まれたのか
攻撃者「888」の投稿によれば、流出したとされるデータにはソースコードに加え、RSA鍵、SSH鍵、Azure PAT(個人用アクセストークン)、Azureストレージのアクセスキー、各種設定ファイルが含まれるという。証拠として、“121123_AtriasTalentAcademy"という名前のAzure DevOpsリポジトリをクローンする様子のスクリーンショットも公開された。BleepingComputerはこれらの主張の全容を独自には検証できていないとしている。
Accentureは声明で「独立した事案として認識しており、原因はすでに是正済み。事業運営やサービス提供への影響はない」とコメントした一方、漏洩した情報の正確な量や種類、侵入経路、顧客データへの影響有無については言及を避けている。
繰り返される標的
Accentureが漏洩騒動の渦中に立つのはこれが初めてではない。2024年には同じ「888」が委託先経由の漏洩をきっかけに従業員データの販売を試みており、2021年にはランサムウェア集団LockBitによる攻撃で情報が窃取された過去がある。世界で数十万人規模のコンサルタントを抱え、無数の顧客環境やクラウドリソースにアクセスする立場にある以上、こうした攻撃対象領域の広さは今後も付きまとう課題だろう。
実務への影響
今回特に注目すべきは、盗まれたとされる情報がソースコードだけでなく、Azure PATやストレージアクセスキー、SSH鍵といった「人間ではなくシステムが使う認証情報」、いわゆるNon-Human Identities(NHI)である点だ。これらは一度漏洩すると、正規のワークフローに紛れて長期間気づかれずに悪用されるリスクが高い。日本企業でもAzure DevOpsやGitHub Actionsで有効期限のないPATを発行しっぱなしにしているケースは珍しくない。この機会に、自社のリポジトリやCI/CDパイプラインで「失効させていないPAT」「ローテーションされていないストレージキー」が放置されていないか、棚卸しをしておきたい。Accentureのような大手SIerと取引がある企業は、委託先経由の二次被害にも注意が必要だ。
筆者の見解
盗まれたものの中身を見ると、ソースコードそのものよりも、Azure PATやストレージキー、SSH鍵といった「常時有効な認証情報」の漏洩の方が実害として大きくなりやすい。筆者はゼロトラストの立場から、常時アクセス権を持ち続ける資格情報こそが特権アカウント管理における最大のリスクだと考えている。人間が使うパスワードだけでなく、こうした非人間ID(NHI)を誰がいつ発行し、いつ失効させたかを追跡できていない組織は、Accentureに限らず、今回のような漏洩の一歩手前にいると考えた方がいい。
Accentureほどの規模の企業でも「原因は是正済み」という短い説明で済ませてしまう対応には、コンサルティング業界全体の情報開示の物足りなさを感じる。「事業運営への影響はない」という説明を鵜呑みにせず、取引先や委託先が同様の被害に遭った場合に自社へどう波及するかを、日頃から棚卸ししておく姿勢が今の時代には欠かせない。
出典: この記事は Accenture confirms breach after hacker offers stolen data for sale の内容をもとに、筆者の見解を加えて独自に執筆したものです。