株式会社マネーフォワードは2026年5月1日、同社が利用するソースコード管理サービス「GitHub」に対して不正アクセスが行われ、グループ提供サービスのリポジトリがコピーされたことが判明したと公表した。リポジトリ内に保管されていたファイルから、決済サービス「マネーフォワード ビジネスカード」の利用者370件分のカード保持者名(アルファベット)とカード番号下4桁が流出した可能性も明らかにしている。同社は事案を受けて金融機関とのAPI連携を一時停止し、新規の与信申込ができない状態が続いているという。
3行要約
見出し
何が起きた/GitHub認証情報の漏えいを経路とする不正アクセスにより、マネーフォワードのリポジトリがコピーされたことが判明した。
影響/ビジネスカード利用者370件分のカード保持者名(アルファベット)とカード番号下4桁が流出した可能性があるほか、金融機関口座のAPI連携が停止し、新規の与信申込手続きが進められなくなっている。
対応/不正アクセス経路の認証情報無効化とアカウント遮断は完了。リポジトリ内の認証キー・パスワードの無効化と再発行も概ね完了したと説明している。
わかっていること/わかっていないこと
わかっていること
・GitHub上の同社環境に対する不正アクセスが確認された。
・侵入経路はGitHub認証情報の漏えいであり、これを用いてリポジトリがコピーされたことが判明している。
・リポジトリ内のファイルに含まれていた個人情報の一部が流出した可能性があり、具体的には「マネーフォワード ビジネスカード」に関わる370件分のカード保持者名とカード番号下4桁が対象とされている。
・カード番号全桁、有効期限、CVV(セキュリティコード)、本番データベースからの漏えいは確認されていない、と同社は説明している。
・対応の一環として金融機関とのAPI連携を一時停止した。
・「マネーフォワード ビジネスカード」で、新たな金融機関口座のAPI連携ができず、与信申込手続きに進めない可能性がある。
・不正アクセス経路となった認証情報の無効化とアカウント遮断は完了した、と同社は公表している。
・リポジトリ内に含まれていた各種認証キー・パスワードの無効化と再発行は概ね完了したとされている。
・本件は第一報の段階にある。
わかっていないこと
・コピーされたコードの具体的な範囲や、第三者による悪用の有無。
・不正アクセスの起点となったGitHub認証情報がどのように漏えいしたか、攻撃手口の具体像。
・370件以外の利用者・サービスに対する追加的な個人情報影響の有無。
・攻撃の発生日時、検知日時、外部への通報や監督当局への報告状況。
・API連携の再開時期。
ビジネスカードの与信申込が停止
同社のサポートサイトに掲載された案内によると、影響が及んでいるのは「マネーフォワード ビジネスカード」の口座連携機能だ。新規に金融機関口座をAPIで連携することができず、口座連携を前提とする与信申込のフローに進めない状態だという。
同社は、利用者に迷惑をかけているとして謝罪したうえで「可能な限り早期に連携を再開できるよう対応を進める」としている。すでに発行済みのカード利用や、API連携を伴わない他の機能への影響については、今回のサポートサイト掲載の文面では言及されていない。
「リポジトリのコピー」とは何を意味するか
GitHubは世界中の開発企業が利用するソースコード管理サービスで、認証情報の漏えいや権限設定の不備をきっかけにリポジトリが第三者に取得される事例が国内外で報告されている。コピーされた可能性のある情報には、業務ロジックやAPI仕様だけでなく、設定ファイルに含まれるアクセスキーや内部システムの構造など、二次的な攻撃に悪用され得る要素が含まれることがある。
このため、コード自体の機密性に加え、コード内に埋め込まれていた可能性のあるシークレットの扱いや、関連システムの認証情報のローテーションが事後対応の焦点となるのが一般的だ。今回の事案について同社は、不正アクセス経路となった認証情報の無効化とアカウント遮断は完了し、ソースコード内に含まれていた各種認証キー・パスワードの無効化と再発行も概ね完了したと公表している。一方で、対応の対象となった具体的なシステム名や網羅範囲については現時点の発表からは読み取れず、続報での明示が必要となる。
金融サービスのサプライチェーン影響
マネーフォワードはクラウド会計や家計簿サービスなど、金融機関と連携した複数のサービスを展開している。今回はビジネスカードの与信申込への影響と、同サービス利用者370件分の一部個人情報の流出可能性が明示されたが、同社グループのサービスは銀行口座やクレジットカードなど多数の外部システムと連携しており、API連携の停止やリポジトリ内に保管されていた他の情報への影響範囲は、サポートページや第一報の記述だけでは判別できない部分が残る。
同社は本件について、サポートサイト上で「重要なお知らせ」と「プレスリリース(第一報)」を案内している。続報で被害範囲や原因、再開時期が示される見通しだ。
タイムライン
公表されている事実関係
発生日/不明(同社発表に明記なし)
検知日/不明(同社発表に明記なし)
社外公表日/2026年5月1日(サポートサイト掲載・プレスリリース第一報)
監督当局・捜査機関への報告/不明(同社発表に明記なし)
API連携の一時停止/公表時点で実施中
不正アクセス経路の認証情報無効化・アカウント遮断/完了
リポジトリ内の認証キー・パスワードの無効化と再発行/概ね完了
復旧予定/未定(早期再開を目指すと表明)
ソース元
ページタイトル:【重要】金融機関とのAPI連携の一時停止に伴う、与信申込における影響について|マネーフォワード ビジネスカード サポート
URL:https://biz.moneyforward.com/support/biz-pay/news/important/20250501-2.html
プレスリリース(第一報):https://corp.moneyforward.com/news/info/20260501-mf-press-1/