アクセンチュアが「限定的な」不正アクセスを確認――35GBのソースコードとAzure認証情報の窃取主張、顧客企業への波及リスクも

コンサルティング大手のアクセンチュア(Accenture)が2026年7月、外部からの不正アクセスを受けていたことを認めた。「888」を名乗る攻撃者が、同社から約35GB分のソースコードやMicrosoft Azure関連の認証情報を窃取したと主張し、盗んだとするデータの売却を持ちかけたことが発端だ。アクセンチュアは「限定的な事象」と位置付け、発生源への対処はすでに完了したと説明する一方、窃取されたデータの量や種類については明言を避けている。ソースコードや有効なクレデンシャルが流出していた場合、同社だけでなく世界中の顧客企業にリスクが波及しかねない点が懸念されている。

発端は闇フォーラムでの「販売」書き込み

報道によると、事の発端は2026年7月上旬、サイバー犯罪フォーラム「PwnForums」に投稿された1件の書き込みだった。「888」を名乗る攻撃者が、アクセンチュアに侵入して「35GBを少し超えるソースコード」を窃取したと主張。その上で、盗んだとするデータの買い手を募った。

攻撃者が持ち出したと主張しているのは、ソースコードに加え、RSA鍵、SSH鍵、Azureのパーソナルアクセストークン(PAT)、Azure Storageのアクセスキー、各種設定ファイルなど、システムへの侵入や横展開に直結しうる機微な情報である。投稿には、窃取の「証拠」として、アクセンチュアのドメイン(accenture.com)に紐づく本番環境のURL上でホストされていた非公開のAzure DevOpsリポジトリからデータを持ち出したとするスクリーンショットも添えられていたとされる。

アクセンチュアの公式見解――「限定的な事象、発生源には対処済み」

アクセンチュアはこの件について、複数のメディアの取材に対し公式コメントを出している。同社広報担当のPeter Soh氏はCybersecurity Diveに対し、「当社はこの限定的な事象を認識しており、その発生源にはすでに対処した(We are aware of this isolated matter and we have remediated its source.)」「アクセンチュアの業務およびサービス提供に影響はない(There is no impact to Accenture operations and service delivery.)」と述べた。

一方で、同社は攻撃者が主張するデータ窃取の事実や、アクセスあるいは流出した可能性のあるデータの量・種類については具体的な言及を避けている。侵害の発生自体は認めつつも、被害の規模は現時点で外部からは確認できていない状態が続いている。

なぜソースコードと認証情報の流出が重大なのか

今回の事案で専門家が特に警戒しているのは、流出したと主張されている情報の「質」である。単なる個人情報の漏えいにとどまらず、システムの内部構造そのものを攻撃者に明かしてしまう可能性があるためだ。

脅威インテリジェンス企業のSOCRadarは、本件の分析の中で、ソースコードは攻撃者が内部アプリケーションのロジックを理解し、実装上の弱点パターンを特定したり、ハードコードされた秘密情報や悪用可能な経路を探し出したりする手がかりになりうると指摘している。さらに、流出したとされるアクセスキーが依然として有効であれば、攻撃者はコードリポジトリやクラウドストレージ内を自由に動き回れるおそれがある。

とりわけ深刻なのは、被害がアクセンチュア1社で完結しない可能性だ。同社はフォーチュン・グローバル500の大多数を顧客に抱える世界最大級のコンサルティング企業であり、ソースコードや設定ファイルの内容次第では、顧客やパートナー企業が利用するソフトウェアの脆弱性を攻撃者が特定する足がかりになりかねない。窃取されたデータが新しいものであるほど、サプライチェーンを通じて連鎖的な影響が広がるリスクが高まると懸念されている。

繰り返される「過去の教訓」

アクセンチュアがセキュリティインシデントに見舞われるのは、今回が初めてではない。

2017年には、セキュリティ研究者が、同社のクラウド基盤に関する機微な情報を含む、適切に保護されていないAmazon Web Services(AWS)のS3ストレージバケットを発見。約4万件に及ぶ平文のパスワードや他のクラウドサービスへのアクセスキーが露出していたと報告された。2021年8月には、ランサムウェア「LockBit」を用いる攻撃者に標的とされ、盗んだデータの公開を盾に金銭を要求された。

そして2024年には、今回と同じ「888」というハンドルネームの攻撃者が、アクセンチュア従業員の大規模なデータベースを窃取したと主張している。ただしこのときは、アクセンチュアが「攻撃者は事案を大幅に誇張している」とし、実際にデータセットに含まれていたのは3名分の情報にすぎなかったと反論した経緯がある。同じ人物・グループが再び同社を標的にしたのか、あるいは名前を騙る別人なのかは、現時点では確認されていない。

企業が今あらためて向き合うべき論点

今回の事案は、開発環境やクラウドに保管された「認証情報」と「ソースコード」が、攻撃者にとっていかに価値の高い標的であるかをあらためて浮き彫りにした。Azure DevOpsのようなコード管理・CI/CD基盤にアクセストークンやアクセスキーが保管されている場合、それらが一度流出すれば、単一のシステムだけでなく連携する複数のクラウド資産にまで被害が及びうる。

対策の要点としては、パーソナルアクセストークンやアクセスキーの棚卸しと最小権限化、定期的なローテーション、ソースコード内へのシークレットのハードコード禁止とシークレットスキャンの導入、リポジトリやクラウドストレージへのアクセス監視などが挙げられる。加えて、大手ベンダーやコンサルティング企業に業務を委託している企業にとっては、委託先で発生したインシデントが自社にも波及しうるという「サプライチェーンリスク」の視点が欠かせない。委託先のセキュリティ体制やインシデント発生時の連絡・対応フローをあらためて確認しておくことが望ましい。

なお、本稿で示した被害内容の多くは攻撃者側の主張に基づくものであり、アクセンチュアが公式に確認した事実は「限定的な事象を認識し、発生源に対処した」「業務・サービス提供への影響はない」という範囲にとどまる。続報や公式発表の動向を注視する必要がある。

出典・参考リンク