【最新】マネーフォワードGitHub不正アクセス事件の全容と調査結果まとめ(2026年6月23日更新)
2026年5月1日に第一報が公表され、金融・IT業界に大きな衝撃を与えた「マネーフォワードにおけるGitHubへの不正アクセスおよび銀行口座連携一時停止」のインシデント。
2026年6月23日、同社は精査を終えた詳細な調査結果(第四報)を公表し、個人情報保護委員会および関係官庁(金融庁など)へ確定報告を提出しました。本記事では、この最新情報を中心に、事件の経緯、漏洩したデータの内訳、原因、そして今後の再発防止策について網羅的に解説します。
1. 事件の概要とタイムライン
本インシデントは、マネーフォワードグループがソースコード管理サービス「GitHub」で利用していた認証情報の漏洩を発端に、第三者がリポジトリ(ソースコードの保管場所)へ不正アクセスし、コード等をコピーしたものです。
| 日付(2026年) | 主な出来事・発表内容 |
|---|---|
| 4月上旬 | 国内最大手クラウドファンディング「CAMPFIRE」でも同様のGitHub不正アクセスが発覚(業界全体でGitHub管理の懸念が高まる) |
| 5月1日 | 第一報を公表。GitHubへの不正アクセスおよび「マネーフォワード ビジネスカード」情報370件の流出可能性を発表。二次被害防止のため、金融機関とのAPI・口座連携機能を順次一時停止 |
| 5月13日 | 安全性が確認された一部の金融機関から、順次口座連携を再開 |
| 5月22日 | 連携停止の影響を受けた有料プラン(プレミアムサービス)会員に対し、「購読期間15日間延長」の補償措置を発表 |
| 6月23日 | 調査結果(第四報)を公表(精査完了・最終報告)。影響のあったデータ規模が確定し、個人情報保護委員会等へ確定報告を提出 |
2. 【最新】流出(コピー)された可能性がある個人情報
6月23日の最終報告により、GitHub上のリポジトリに含まれていたファイルから流出した可能性のある個人データの全容が判明しました。対象数は計6万2,901人分に上ります。
流出可能性のあるデータの内訳は以下の通りです。
| 対象区分 | 件数(人分) | 主な内訳・項目 |
|---|---|---|
| ビジネスカード顧客 | 370 | カード保持者名(アルファベット表記)、カード番号の下4桁※全桁、有効期限、セキュリティコードは対象外 |
| その他の顧客 | 124 | 氏名(100件)、メールアドレス(24件) |
| 取引先情報 | 28 | 氏名(5件)、メールアドレス(23件) |
| 従業員・退職者 | 2,300 | システム上の固有識別子(373件)、氏名(490件)、メールアドレス(1,807件)、電話番号(305件) |
| 顧客の固有識別子 | 60,449 | システム内で利用者を区別するための「管理用番号(最大19桁の数字)」のみ。氏名やメールアドレス等の個人を特定する情報は含まない |
⚠️ 最も重要なポイント:本番環境・DBは無事
マネーフォワードは、「顧客情報を格納する本番データベース(DB)への不正アクセスや、本番環境からの情報漏えい、および個人情報の不正利用による被害は一切ない」と明言しています。 流出したのはあくまで「GitHubのリポジトリ(開発環境)に含まれていた情報」に限定されています。
3. インシデントの原因
今回の不正アクセスの原因は、「GitHubの認証情報(アクセストークン等)の漏洩」です。 開発者が何らかの形で認証情報を外部に漏洩させてしまったか、あるいは業務端末がマルウェア等の侵害を受け、保持していた認証情報が抜き取られた可能性が指摘されています。
昨今、GitHubリポジトリ内に誤って認証情報やテスト用の個人情報ファイルをハードコード(直書き)してしまい、そこから芋づる式にデータが窃取されるインシデントが多発しており、今回の事件もその典型例と言えます。
4. マネーフォワードが発表した「再発防止策」
調査完了に伴い、マネーフォワードは以下の強固なセキュリティ対策を導入したことを明らかにしました。
- 業務端末のセキュリティ統制強化 開発者が使用する端末(エンドポイント)の監視と制御を強化し、認証情報の窃取を防ぎます。
- 通信統制基盤の導入(シャドーIT対策) 社内で認可されていない外部サイトやクラウドサービスへのアクセスを強制的に遮断する仕組みを導入しました。
- 開発環境における個人情報ハンドリングルールの厳格化 開発環境やGitHub上に、本番データや個人を特定できる情報を安易に持ち込ませない社内体制・開発フローを再整備しました。
- 開発環境のリアルタイム監視 従来から稼働していた「本番環境の24時間監視」に加え、「開発環境(GitHub等)における異常挙動のリアルタイム検知」を行う体制を新たに構築しました。
5. まとめ
2026年5月から続いたマネーフォワードのGitHub不正アクセス事件は、6月23日の最終報告をもって調査フェーズが完了しました。
結果として、約6.3万人分のデータ(その大半は単体では個人を特定できないシステム識別子)に流出の可能性があったものの、懸念されていた本番データベースへの直接侵入や、クレジットカード情報の全桁漏洩といった最悪の事態は回避されていたことが裏付けられました。
本インシデントは、「ソースコードの管理環境(GitHub)」が企業のセキュリティにおいて本番環境と同等に強固な守りを求められる時代になったことを示す、重要な教訓となっています。
そんなところで
