株式会社マネーフォワードは2026年5月12日、家計簿サービス「マネーフォワード ME」で一時停止していた銀行口座連携機能について、安全確認が完了した金融機関から順次再開すると発表した。同社のソフトウェア開発で利用する「GitHub」が第三者による不正アクセスを受け、ソースコードが閲覧・コピーされた事案を受けた措置。本番データベースに格納する顧客情報の漏えいは確認されておらず、現時点で利用者にパスワード変更などの対応は求めないとしている。
3行要約
見出し
何が起きた
マネーフォワードグループが利用する「GitHub」上のソースコードが、第三者に不正にアクセスされ、閲覧・コピーされた。
影響
サービス安全確認のため銀行口座連携機能を一時停止。グループ会社マネーフォワードケッサイが扱う「マネーフォワード ビジネスカード」370件分のカード保持者名(アルファベット表記)とカード番号下4桁が流出した。
対応
セキュリティ対策と再発防止策を完了し、提携金融機関との最終確認を経て5月12日から連携を順次再開している。
わかっていること/わかっていないこと
わかっていること
GitHub上のソースコードが第三者に閲覧・コピーされたこと。マネーフォワード ビジネスカード370件分の名義と下4桁が流出したこと。本番データベースの顧客情報や家計・資産情報の漏えいは確認されていないこと。金融機関のログインに必要な情報はソースコードに含まれておらず、本番環境で暗号化して厳重に管理されていること。本番環境データの改ざんも確認されていないこと。所管警察、個人情報保護委員会、関係官庁へ報告・相談を進めていること。
わかっていないこと
GitHubへの侵入経路や手口の詳細。リポジトリに含まれていた個人情報の漏えい範囲の全容は精査中で、現時点では確定していない。利用者への補償の有無や内容も「検討中」としている。
本番環境への侵害は確認されず
同社が5月11日に公表した第二報によると、グループ内の詳細調査の結果、本番データベースに格納される顧客情報の漏えいや、本件に起因する不正利用の被害は現時点で確認されていない。家計簿サービス「マネーフォワード ME」に連携される家計・資産情報、金融機関連携先のログインに必要な情報なども含まれないとしている。
同社は、金融機関連携用の認証情報はソースコードの一部ではなく、本番環境のデータベースに暗号化して保存し、アクセスを制限していると説明。今回の事象に伴う情報漏えいの対象に同認証情報は含まれず、金融機関への不正ログインの恐れはないとした。
原因はファイルの誤配置
個人情報がGitHub上に存在した経緯について、同社は「個人情報の取り扱いを伴うサービス更新作業の過程で、個人情報を含むファイルが本来の管理手順から外れ、誤ってGitHub上に保管されていた」と説明している。通常、GitHubで管理するソースコードに個人情報は含めない運用としているという。
流出が確認されたのは、グループ会社マネーフォワードケッサイ株式会社が提供する「マネーフォワード ビジネスカード」のカード保持者名(アルファベット表記)とカード番号下4桁の370件。これ以外のクレジットカード情報や個人情報の漏えいは確認されていないとしている。
銀行口座連携、順次再開へ
同社は事象発覚直後の5月1日、追加被害防止のため銀行口座連携機能を一時停止した。提携金融機関との安全性確認を経て、5月12日12時時点で「最終確認および接続準備が完了した金融機関」から連携を再開していると公表した。
再開直後は更新が集中するため、更新完了まで時間がかかる可能性があるとし、「一時的に更新できない」旨のメッセージが表示される場合は時間を改めて手動更新を試すよう利用者に呼び掛けている。金融機関によっては再連携操作が必要となるケースもあるとしている。
タイムライン
2026年5月1日
16時24分、第一報を公表。GitHubへの不正アクセスにより、グループが提供するサービスのソースコードが閲覧・コピーされたと公表。銀行口座連携機能を一時停止。
2026年5月3日
13時、続報。流出ソースコードや個人情報の不正利用被害は確認されないと報告。グループ会社が扱う「マネーフォワード ビジネスカード」370件分のカード保持者名と下4桁の流出を公表。所管警察、個人情報保護委員会、関係官庁へ報告・相談を進めていると説明。
2026年5月11日
14時、第二報を公表。本番データベース内の顧客情報漏えいや本番環境の改ざんは確認されないと報告。リポジトリに含まれる個人情報の漏えい範囲は精査継続中。補償等の対応は検討中とした。
2026年5月12日
12時、銀行口座連携機能の順次再開を公表。安全性の確認作業完了を受け、最終確認が済んだ金融機関から段階的に連携を戻している。
家計簿アプリ大手の信頼回復が焦点
マネーフォワード MEは、銀行口座やクレジットカード、証券口座などを連携させて家計・資産を自動集計する代表的なパーソナルファイナンスサービスだ。連携先金融機関は多岐にわたり、ソースコードが流出した場合の影響は広範に及ぶ可能性があるため、同社は事象発覚直後に連携機能を停止する判断をとった。
サプライチェーン上のソースコード管理基盤に対する不正アクセスは、近年セキュリティ業界で警戒が高まっている類型のひとつ。今回の事案では、本番環境の認証情報や顧客データへの直接侵害は確認されていないものの、本来GitHubに置くべきでない個人情報を含むファイルが誤って配置されていた点が原因とされており、開発・運用プロセスにおける情報資産の取り扱いルールの徹底が改めて問われる事案となった。
同社は今後、開示すべき新たな事実が判明した場合、続報や案内の更新で速やかに開示するとしている。