株式会社マネーフォワード(東京都港区)は5月1日、ソフトウェア開発に利用しているソースコード管理サービス「GitHub」の認証情報が漏えいし、第三者による不正アクセスでリポジトリがコピーされたと発表した。子会社のマネーフォワードケッサイ株式会社が提供する「マネーフォワード ビジネスカード」の保持者情報370件が流出した可能性があるとしている。同社は銀行口座連携機能を一時停止し、認証情報の再発行など封じ込め対応を進めている。第一報では侵入経路や検知日時は明らかにしていない。
3行で読む
見出し
【何が起きた】GitHubの認証情報が漏えいし、第三者がリポジトリをコピーした。
【影響】ビジネスカード保持者のアルファベット表記の氏名と、カード番号下4桁の計370件が流出した可能性がある。
【対応】不正アクセス経路の認証情報を無効化し、銀行口座連携機能を一時停止して安全性を確認している。
わかっていること/わかっていないこと
【判明している事実】
・GitHub上のリポジトリが第三者にコピーされた。
・流出した可能性のある情報は、マネーフォワード ビジネスカード保持者のアルファベット表記の氏名と、カード番号下4桁の計370件。
・クレジットカード番号の全桁、有効期限、セキュリティコード(CVV)の流出は現時点で確認されていない。
・顧客情報を格納する本番データベースからの漏えいは確認されていない。
・流出した可能性がある情報の不正利用は確認されていない。
・侵入経路となった認証情報の無効化とアカウントの遮断は完了。ソースコードに含まれていた認証キーやパスワードの無効化・再発行は概ね完了している。
【未確認・調査中】
・不正アクセスの発生時期および検知時期は公表されていない。
・認証情報がどのように漏えいしたか、侵入経路の詳細は明らかにされていない。
・攻撃者の身元や動機は公表されていない。
・コピーされたリポジトリのうち、流出した可能性があるソースコードの範囲・規模は明示されていない。
・銀行口座連携機能の復旧時期は未定。
侵入経路の認証情報を無効化、銀行連携も停止
同社の発表によると、ソフトウェア開発と社内システム管理に使っているGitHubの認証情報が漏えい。これを悪用した第三者がリポジトリにアクセスし、内容を複製したことが判明したという。
同社は事象の発覚後、不正アクセスの経路となった認証情報を無効化し、当該アカウントを遮断した。ソースコード内に含まれていた各種認証キーやパスワードの無効化と再発行も概ね完了したとしている。
サービスの安全運営に支障はないとしつつ、同社は銀行法に基づく電子決済等代行業者として提携金融機関との安全性確認を万全にするため、銀行口座連携機能を一時的に停止した。再開時期は「全ての確認作業が完了次第、順次」としており、具体的な復旧見込みは明示していない。
流出可能性は「氏名と下4桁」 CVVや本番DBへの影響は否定
流出した可能性が指摘されているのは、マネーフォワードケッサイが提供する「マネーフォワード ビジネスカード」の保持者情報370件。アルファベット表記の氏名と、カード番号の下4桁が含まれる。
一方、クレジットカード番号の全桁、有効期限、CVVについては「現時点で流出を確認していない」と説明。顧客情報を格納する本番データベースからの情報漏えいや、流出した可能性のある情報を悪用した不正利用も確認されていないという。該当する利用者にはメールなどで個別に連絡するとしている。
残された論点 侵入経路と再発防止策
第一報では、認証情報がどのように外部に流出したかは明らかにされていない。一般にGitHubを狙う攻撃では、開発者端末のマルウェア感染、フィッシングによる認証情報窃取、過去に流出した認証情報の再利用など複数の経路が知られているが、本件がどれに該当するかは公表されていない。
また、リポジトリ内の認証キーやパスワードを「無効化と再発行を概ね完了」と説明している点については、ソースコード管理におけるシークレット管理の運用が論点となる可能性がある。同社は原因調査と安全性強化、再発防止に向けた取り組みを進めるとしている。
マネーフォワードのタイムライン
2026年5月1日 株式会社マネーフォワードが第一報を公表。GitHubへの不正アクセスとリポジトリのコピー、ビジネスカード関連370件の個人情報が流出した可能性を発表。
不正アクセスの発生日 公表されていない。
不正アクセスの検知日 公表されていない。
関係機関への報告・通報状況 第一報では明示されていない。
対応状況(公表時点) 認証情報の無効化とアカウント遮断は完了。ソースコード内の認証キー・パスワードの無効化と再発行は概ね完了。銀行口座連携機能は一時停止中。