ターゲットのソースコード流出、従業員が信憑性を確認
複数の現・元ターゲット従業員が、同社から流出したとされるソースコードと文書が本物であることをBleepingComputerに確認しました。この情報は、BleepingComputerが漏洩の疑いについてターゲットに接触した翌日に、同社が「加速された」セキュリティ変更を発表した内部通信とも一致しています。
流出データの詳細と技術スタック
漏洩したデータサンプルには、「BigRED」や「TAP [Provisioning]」といったターゲットの社内システム名が含まれており、これらは実際に同社のクラウドおよびオンプレミスアプリケーションの展開とオーケストレーションに使用されているプラットフォーム名と一致すると元従業員が証言しています。また、Hadoopデータセット、VelaベースのカスタマイズされたCI/CDプラットフォーム、JFrog Artifactoryなどの技術スタックの要素も、社内で使用されているシステムと整合しています。
さらに、従業員は、漏洩データセットに出現する「blossom IDs」のような独自のプロジェクトコード名や分類識別子を独自に参照しており、これらのシステム参照、従業員名、プロジェクト名、および一致するURLの存在は、流出資料が捏造されたものではなく、実際の社内開発環境を反映していることを強く裏付けています。
ターゲットの緊急対応:Gitアクセス制限
BleepingComputerがターゲットに接触した翌日、同社は緊急のセキュリティ変更を実施しました。2026年1月9日より、ターゲットのオンプレミスGitHub Enterpriseサーバーである「git.target.com」へのアクセスは、ターゲット管理ネットワーク(社内またはVPN経由)への接続が必須となりました。以前はウェブ経由でアクセス可能だった「git.target.com」は、現在では公開インターネットから到達不能となっており、同社のプロプライエタリなソースコード環境へのアクセスがロックダウンされたことを示しています。
流出経路の可能性:インフォスティーラー型マルウェア
データが脅威アクターの手に渡った根本原因はまだ特定されていません。しかし、セキュリティ研究者であるHudson RockのCTO、Alon Gal氏によると、2025年9月下旬にターゲット従業員のワークステーションがインフォスティーラー型マルウェアによって侵害されたことが確認されています。このワークステーションは、IAM、Confluence、wiki、Jiraへの広範なアクセス権を持っていました。現時点ではこの感染と今回のソースコード流出との直接的な関連は確認されていませんが、脅威アクターがデータ窃取から数ヶ月後にそれを収益化しようとすることは珍しくありません。
流出データの規模と影響
脅威アクターは、全データセットのサイズが約860GBに上ると主張しています。BleepingComputerが検証したのは5つの部分的なリポジトリを含むわずか14MBのサンプルでしたが、従業員は、この限られたサブセットですら本物の社内コードとシステム参照が含まれていると述べています。これにより、はるかに大規模なアーカイブに含まれるデータの広範な範囲と機密性について懸念が高まっています。