情報漏洩の経緯と社内システムの確認
複数の現役および元Target(ターゲット)社従業員が、サイバー脅威アクターによって共有されたソースコードとドキュメントが、同社の実際の内部システムと一致することをBleepingComputerに確認しました。この報告は、BleepingComputerがTarget社に情報漏洩の可能性について接触した翌日に、社内のGitサーバーへのアクセスを制限する「加速された」セキュリティ変更が発表されたことと時期を同じくしています。
BleepingComputerは昨日、ハッカーがTarget社の内部ソースコードを販売していると主張し、Gitea上に盗まれたリポジトリのサンプルを公開したと報じました。その後、Target社の内部CI/CDパイプラインとインフラに関する直接的な知識を持つ複数の情報源が、漏洩データの真正性を裏付ける情報を提供しました。
- 元従業員は、「BigRED」や「TAP [Provisioning]」といったサンプルに見られる内部システム名が、同社でクラウドおよびオンプレミスアプリケーションのデプロイとオーケストレーションに使用されている実際のプラットフォームと一致することを確認。
- 現役および元従業員の両方が、漏洩したサンプルで参照されているHadoopデータセットを含むテクノロジースタックの要素が、内部で使用されているシステムと整合していることを確認。これには、Velaに基づいたカスタマイズされたCI/CDプラットフォームや、JFrog Artifactoryのようなサプライチェーンインフラの使用も含まれます。
- 従業員らはまた、漏洩したデータセットに出現する「blossom ID」として内部的に知られている独自のプロジェクトコードネームと内部分類識別子にも言及。
これらのシステム参照、プロジェクト名、および一致するURLの存在は、この資料が捏造されたり汎用的なコードではなく、実際の内部開発環境を反映していることをさらに裏付けています。
Target社、Gitアクセス制限を「加速」
匿名を希望する現役従業員は、Target社がBleepingComputerからの連絡を受けた翌日に、上級プロダクトマネージャーが「加速された」セキュリティ変更を発表した社内Slackメッセージのスクリーンショットを共有しました。
「2026年1月9日より、git.target.com(Target社のオンプレミスGitHub Enterprise Server)へのアクセスには、Target社が管理するネットワーク(オンサイトまたはVPN経由)への接続が必要になります。この変更は加速されたものであり、GitHub.comへのアクセス管理方法と整合しています。」
エンタープライズGitサーバーは、認証された従業員のみが閲覧できるプライベートリポジトリと、パブリックなオープンソースプロジェクトの両方をホストできます。しかし、Target社では通常、オープンソースコードはGitHub.comでホストされ、git.target.comは内部開発に使用され、従業員認証が必要です。
昨日報じられたように、git.target.comは先週までウェブ経由でアクセス可能で、従業員にログインを促していました。現在、同サイトは公共インターネットからはアクセスできなくなり、Target社の内部ネットワークまたは企業VPNからのみアクセス可能となっており、同社のプロプライエタリなソースコード環境へのアクセスがロックダウンされたことを示しています。
データ漏洩、侵害、または内部関係者の関与か?
データが脅威アクターの手に渡った根本原因はまだ特定されていません。しかし、Hudson RockのCTO兼共同創設者であるセキュリティ研究者Alon Gal氏は、BleepingComputerに対し、彼のチームが2025年9月下旬にインフォスティーラー型マルウェアによって侵害されたTarget社従業員のワークステーションを特定したと語りました。このワークステーションは、IAM、Confluence、Wiki、Jiraなどの内部サービスへのアクセス権を持っていました。
「これまでに確認されたTarget社従業員の感染事例数十件のうち、IAM認証情報を持つものはほとんどなく、Wikiアクセスを持つものも他の1件を除いて皆無であったため、この事例は特に重要です」とGal氏はBleepingComputerに語りました。
この感染が、現在販売されているソースコードと直接関連しているという確認はありません。しかし、脅威アクターがデータを抜き取り、数ヶ月後に初めて金銭化または漏洩を試みることは珍しくありません。例えば、Clopランサムウェア集団は、2025年10月にデータ漏洩の脅威を通じて被害者を恐喝し始めましたが、そのデータは同年7月という早い時期に盗まれていました。
脅威アクターは、完全なデータセットが約860GBのサイズであると主張しています。BleepingComputerがレビューしたのは、5つの部分的なリポジトリを含む14MBのサンプルに過ぎませんが、従業員は、この限られたサブセットですら本物の内部コードとシステム参照を含んでいると述べており、はるかに大きなアーカイブがどのような範囲と機密性の情報を含みうるのかという疑問を提起しています。
BleepingComputerは先週、GiteaリポジトリのリンクをTarget社と共有し、その後、調査を支援するためにHudson Rockの脅威インテリジェンス調査結果を提供することを申し出ました。しかし、Target社は追加の質問に応じず、侵害または内部関係者の関与を調査しているかどうかについても沈黙を保っています。