本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
マネーフォワードは2026年5月1日、同社グループが開発・システム管理に利用しているGitHubの認証情報が漏えいし、第三者による不正アクセスでリポジトリがコピーされたと発表した。リポジトリはソースコードなどを保管する開発上の置き場で、同社グループが提供するサービスのソースコードと、保管ファイルに記載されていた一部個人情報が流出した可能性がある。具体的には、マネーフォワードケッサイの「マネーフォワード ビジネスカード」に関する370件のカード保持者名(アルファベット)とカード番号の下4桁が対象に含まれる。
カード全桁や本番データベースの流出は未確認
5月1日17時時点で、クレジットカード番号の全桁、有効期限、セキュリティコード(CVV)の流出は確認されていない。公表された範囲はカード保持者名とカード番号の下4桁であり、決済に必要なカード情報一式が外部に出たと確認されたわけではない。
顧客情報を格納している本番データベースからの情報漏えいも確認されていない。本番データベースは、実際のサービス運用で顧客情報を管理する中核部分で、今回の説明では、リポジトリ内のファイルに記載されていた情報の流出可能性と区別されている。
流出したソースコードや個人情報の不正利用などによる被害も、同時点では確認されていない。対象となるユーザーには個別に連絡するとしている。
認証情報を無効化、連携機能は一時停止
マネーフォワードは被害拡大を防ぐため、不正アクセスの経路となった認証情報の無効化とアカウント遮断を完了した。あわせて、ソースコードに含まれる各種認証キー・パスワードの無効化と再発行も概ね完了している。認証情報はシステムに入るための鍵に当たるため、漏えい時には使えなくしたうえで新しい鍵に切り替える対応が必要になる。
万全を期す措置として、銀行口座連携機能を一時停止し、すべての確認作業が完了次第、サービスを順次再開する方針だ。サポートサイトでも、金融機関とのAPI連携を一時停止していると案内している。API連携は外部サービス同士がデータをやり取りする仕組みで、停止中は明細取得や振り込み、口座情報の更新などに影響が出る可能性がある。
認証情報がどの経路で漏えいしたのか、コピーされたリポジトリの範囲や件数、連携機能の全面的な再開時期は明らかになっていない。再開は安全確認の完了と金融機関との協議が前提となる。個人情報流出の可能性がある対象件数や不正利用の有無についても、今後の調査と続報で確認されることになる。
