マネーフォワード「GitHub不正アクセス事件」まとめ ― 何が起きて、今どうなっているのか
第2報がようやく出ましたね。
https://corp.moneyforward.com/news/info/20260511-mf-press-1
そもそもマネーフォワードとは
マネーフォワードは、個人向けの家計簿アプリ「マネーフォワード ME」や、法人向けのクラウド会計・経費精算サービス「マネーフォワード クラウド」などを提供する、東証プライム上場のフィンテック企業です。多くの銀行やクレジットカード会社と「API連携」(自動でデータを取得する仕組み)を行っており、利用者の資産情報や取引データを一括管理できるのが大きな特徴です。
何が起きたのか
2026年5月1日、マネーフォワードは、同社が利用するソースコード管理サービス「GitHub」への不正アクセスが発生したことを公表しました。 moneyforward
「GitHub」とは、ソフトウェアのプログラム(ソースコード)をチームで管理・共有するためのクラウドサービスで、世界中のIT企業が利用しています。今回の事件では、GitHubにログインするための認証情報(パスワードのようなもの)が何らかの原因で外部に漏れ、それを使った第三者がマネーフォワードのリポジトリ(プログラムの保管庫)に不正にアクセスし、中身をまるごとコピーしたことが判明しました。 moneyforward
流出した可能性のある情報
流出の可能性が確認されたのは、マネーフォワードビジネスカードに関する370件分のカード保持者名(アルファベット表記)とカード番号の下4桁です。クレジットカード番号の全桁や有効期限、セキュリティコードの漏えいは確認されていません。 moneyforward
また、ソースコード自体も流出した可能性があるとされています。
利用者への影響 ― 銀行口座連携が止まった
マネーフォワードは「サービスの安全運営に影響はない」としつつも、安全確認のため各サービスで銀行口座連携機能を一時停止しました。 Impress Watch
これは、マネーフォワードが銀行法にもとづく「電子決済等代行業者」であり、提携する金融機関との信頼関係を守るために「万全を期す」判断をしたためです。この停止により、マネーフォワード MEやマネーフォワード クラウドを使っているユーザーは、銀行口座の残高更新や明細の自動取得ができない状態が続いています。
時系列で見る経過
| 日付 | 出来事 |
|---|---|
| 5月1日 | 第一報を公表。GitHubへの不正アクセスとリポジトリのコピーが判明。認証情報の無効化・遮断を完了。銀行口座連携を一時停止 |
| 5月3日 | マネーフォワード MEサポートサイトで詳細なQ&Aを更新 |
| 5月7日 | サポートサイトでQ&A追加更新。連携エラー中の金融機関一覧を公開(5月8日時点でも更新継続) |
| 5月11日 | 第二報を公表(今回の記事)。 調査の進捗と銀行連携再開に向けた経過を報告 |
第二報(5月11日)のポイント
第二報では、大きく4つの内容が報告されました。
① 顧客データの安全性を確認
調査の結果、本番データベース(実際にユーザー情報が保存されているシステム)に対する侵害や改ざんはなく、顧客情報の漏えいも確認されなかったとしています。利用者の資産や認証に影響を及ぼすものは確認されておらず、パスワード変更などの対応は現時点では不要です。
ただし、GitHubのリポジトリに含まれる個人情報の漏えい範囲については精査を継続中で、全容が判明次第改めて公表するとしています。
② 外部機関への報告
個人情報保護委員会への報告(速報)、関東財務局などの監督官庁への報告、警察への届出、そして外部のセキュリティ専門会社による第三者評価を進めています。この第三者評価では、マネーフォワードが講じた対策の妥当性が確認されたとのことです。
③ セキュリティ対策の完了
不正アクセス経路の遮断、流出の可能性がある認証情報の全社的な再発行、ソースコードのセキュリティ検査と追加対応を完了したとしています。
④ 再発防止策の導入
GitHubの認証管理の厳格化、リポジトリへの機密情報混入を自動で検知する仕組みの導入、開発環境を含むリアルタイム監視体制の構築といった再発防止策を講じました。
銀行連携の再開はいつ?
銀行口座連携の再開については「技術的確認および追加対策を進めており、各提携金融機関の最終確認を踏まえて順次再開する予定」とされていますが、具体的な日時はまだ公表されていません。
つまり、再開にはマネーフォワード側の対策完了だけでなく、連携先の銀行一つひとつが「安全です」とOKを出す必要があるため、段階的な再開になる見通しです。
この事件の背景にあるリスク
今回の事件は、フィンテック企業が抱える特有のリスクを浮き彫りにしました。マネーフォワードのように銀行口座と直接データ連携するサービスでは、たとえ攻撃されたのが「開発環境(GitHub)」であっても、金融機関との信頼関係を維持するために広範囲なサービス停止が必要になります。実害がなくても「念のため止める」という判断を迫られるのは、金融インフラに関わる事業者ならではの厳しさといえます。
また、GitHubの認証情報漏えいによる不正アクセスは、近年世界中のIT企業で繰り返し起きている問題です。ソースコードの中に認証キーやパスワードをうっかり含めてしまう「シークレットの混入」も業界全体の課題であり、マネーフォワードが再発防止策として自動検知の仕組みを導入したのは、こうした業界の教訓を踏まえた対応といえます。
まとめ
現時点での状況を整理すると、ユーザーのお金や口座情報そのものが盗まれた事実は確認されていません。しかし、銀行連携の停止が長引けば、日々の家計管理や経理業務に大きな支障が出るため、利用者にとっては早期の再開が待たれるところです。マネーフォワードは補償対応についても「検討中」としており、今後の続報に注目です。
そんなところで
