Targetの複数の現従業員および元従業員が、脅威行為者がオンライン上で共有したソースコードと文書が実際の社内システムと一致することを確認するために連絡を取った。
また、ある現従業員は、TargetのEnterprise Gitサーバーへのアクセスを制限する「加速された」セキュリティ変更を発表する社内通信を共有した。
流出資料の真偽を確認する従業員
昨日、ハッカーがTargetの内部ソースコードを販売していると主張し、Gitea(公開ソフトウェア開発プラットフォーム)に盗まれたリポジトリのサンプルと思われるものを公開していると独占的に報道された。
それ以来、Targetの内部CI/CDパイプラインとインフラストラクチャーを直接知る複数の情報源から、流出したデータの信憑性を裏付ける情報が寄せられた。
Targetの元従業員は、サンプルに見られる「BigRED」や「TAP [Provisioning]」といった社内システム名が、クラウドおよびオンプレミスのアプリケーションのデプロイとオーケストレーションに同社で使用されている実際のプラットフォームに対応していることを確認した。
Targetの現従業員と元従業員も、流出したサンプルで言及されているHadoopデータセットを含む技術スタックの要素が、社内で使用されているシステムと一致していることを確認している。
これには、Targetが以前公言していたVelaをベースにカスタマイズされたCI/CDプラットフォームを中心に構築されたツールや、JFrog Artifactoryのようなサプライチェーンインフラストラクチャの使用も含まれ、サードパーティのビジネス情報からも明らかだ。
従業員はまた、流出したデータセットに登場する「blossom ID」として社内で知られているような独自のプロジェクトコードネームや分類学的識別子についても独自に言及している。
サンプルにこれらのシステム参照、従業員名、プロジェクト名、一致するURLが存在することは、この資料が捏造されたコードや一般的なコードではなく、実際の内部開発環境を反映していることをさらに裏付けている。
もしあなたがTargetの従業員であるか、この出来事に関して何か情報を持っているのであれば、内密に オンラインで私たちに情報を送ってください。
ターゲット、「加速」アクセス変更を展開
匿名希望の現従業員はまた、シニアプロダクトマネージャーが突然のセキュリティ変更を発表した全社的なSlackメッセージのスクリーンショットを、ターゲットに連絡した翌日に共有した:
「2026年1月9日より、git.target.com(TargetのオンプレミスのGitHub Enterprise Server)へのアクセスには、Targetが管理するネットワーク(オンサイトまたはVPN経由)への接続が必要になりました。この変更は早められたもので、GitHub.comへのアクセスの扱い方と一致しています」とマネージャーは述べている。
企業のGitサーバーは、認証された従業員だけが見ることができるプライベートなリポジトリと、公開されているオープンソースのプロジェクトの両方をホストすることができる。
しかしTargetでは、オープンソースのコードは通常GitHub.comにホストされ、git.target.comは社内開発用に使われ、従業員の認証が必要だ。
昨日報告したように、git.target.comは先週までウェブからアクセス可能で、従業員にログインを促していました。現在、git.target.comは公共のインターネットからはアクセスできなくなり、Targetの社内ネットワークまたは社内VPNからのみアクセスできるようになっており、同社独自のソースコード環境へのアクセスがロックダウンされたことを示している。
データ流出、違反、内部関係者の関与?
データが脅威者の手に渡った根本的な原因はまだ特定されていない。
しかし、ハドソンロックのCTO兼共同設立者であるセキュリティ研究者アロン・ガルは、彼のチームが2025年9月下旬に情報窃取マルウェアによって侵害され、内部サービスへの広範なアクセス権を持っていたターゲット従業員のワークステーションを特定したと語った。
「IAM、Confluence、Wiki、Jiraにアクセスできる、最近感染したTargetの従業員のコンピュータがあります」とGalは語った。
“私たちが見てきた数十人の感染したTarget従業員にもかかわらず、他の1つのケースを除いて、IAM資格情報を持っていた者はほとんどおらず、wikiアクセス権を持っていた者もいなかったので、これは特に関連している。”
この感染が、現在売りに出されているソースコードに直接関係しているという確証はない。しかし、脅威行為者がデータを流出させ、数カ月後に初めて収益化や流出を試みることは珍しくない。例えば、Clopランサムウェアの一団は、2025年10月に、同年7月の時点で盗まれた資料に対して、データ流出の脅迫を通じて被害者から恐喝を開始しました。
この脅威者は、完全なデータセットのサイズは約860GBであると主張している。同社は、5つの部分的なリポジトリからなる14MBのサンプルしか確認していないが、従業員によると、この限られたサブセットでさえ、本物の内部コードとシステム参照が含まれており、はるかに大きなアーカイブに含まれる可能性のある範囲と機密性について疑問を呈している。
ハドソン・ロック社は先週、Giteaリポジトリのリンクをターゲット社と共有し、その後、ハドソン・ロック社の脅威インテリジェンスに関する調査結果を伝えて調査を支援することを申し出た。同社はその後の質問に答えておらず、情報漏洩や内部関係者の関与の可能性を調査しているかどうかについても沈黙を守っている。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2026年CISO予算ベンチマーク
予算の季節です!300人以上のCISOやセキュリティ・リーダーが、来年に向けてどのような計画、支出、優先順位付けを行っているかを発表しました。本レポートでは、2026年に向けた戦略のベンチマーク、新たなトレンドの特定、優先事項の比較を可能にするために、彼らの洞察をまとめています。
トップリーダーがどのように投資を測定可能なインパクトに変えているかをご覧ください。
Comments