株式会社マネーフォワードは、開発管理に利用していた『GitHub』への不正アクセスにより、一部ソースコードとユーザー情報が流出した可能性があると発表した。
安全確認のため、銀行口座連携機能も一時停止している。
GitHub認証情報漏えいで銀行連携を停止
マネーフォワードは2026年5月1日、ソフトウェア開発やシステム管理に利用している『GitHub』の認証情報が漏えいし、第三者による不正アクセスが発生したと公表した。
これにより、GitHub内のリポジトリがコピーされたことを確認したという。
同社によれば、流出した可能性があるのはソースコードに加え、リポジトリ内ファイルに記載されていた一部個人情報である。
対象には、マネーフォワードケッサイが提供する「マネーフォワード ビジネスカード」に関連する370件のカード保持者名と、カード番号下4桁が含まれる。
一方で、クレジットカード番号全桁や有効期限、セキュリティコード(CVV)の流出、本番データベースからの情報漏えい、不正利用被害は確認されていないとしている。
該当顧客にはメールなどで個別連絡を実施する方針だ。
同社は発覚後、不正アクセス経路となった認証情報を無効化し、関連アカウントを遮断した。
ソースコードに含まれていた各種認証キーやパスワードについても再発行を進め、概ね対応を完了したと説明している。
さらに、電子決済等代行業者としての責任を踏まえ、提携金融機関との安全性確認が完了するまで銀行口座連携機能を一時停止した。
今後は各金融機関との確認作業を経て、順次サービスを再開する予定である。
開発基盤依存のリスク浮上 信頼回復が焦点に
今回の事案は、クラウド型開発基盤への依存が高まる中で、認証情報管理の重要性を改めて浮き彫りにしたと言えそうだ。
GitHubのような開発環境は利便性が高い一方、認証情報が流出した場合にはソースコードや内部設定情報への広範なアクセスを招きかねない。
特に金融系サービスでは、実際の顧客データ流出が確認されていなくても、システム停止や機能制限が利用者体験に大きく影響する可能性がある。
今回も銀行連携機能が停止したことで、家計簿や資産管理サービスを日常利用しているユーザーへの影響は小さくないとみられる。
一方で、認証情報の無効化や再発行対応を速やかに実施したことは、被害拡大の抑制につながったとの見方もできる。
クラウド開発環境を利用する企業にとっては、アクセス権限の最小化や秘密情報の分離管理を再点検する契機にもなり得る。
今後は、サービス再開のスピードだけでなく、再発防止策の具体性や透明性も重要になるだろう。
FinTech業界でAPI連携が加速する中、セキュリティ体制への信頼をいかに維持し続けるかが、これまで以上に問われることになりそうだ。
関連記事:
OpenAIでAPIユーザー情報流出の可能性 外部分析ツール不正アクセスが影響
NTTドコモ、不正アプリ「dアップグレード」に注意喚起 個人情報窃取と不正決済の危険性が判明
PayPayが不正決済に注意喚起 SIM乗っ取りでSMS認証突破の恐れ
