1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. マネーフォワード、GitHubへの不正アクセスでビジネスカード 情報370件・ソースコード流出の可能性

マネーフォワード、GitHubへの不正アクセスでビジネスカード 情報370件・ソースコード流出の可能性

セキュリティニュース

投稿日時: 更新日時:

2026年5月1日、家計簿・経費精算クラウドサービスを提供する株式会社マネーフォワード(東証プライム:3994、東京都港区、代表取締役社長グループCEO:辻庸介)は、同社グループが利用するソースコード管理サービス「GitHub」の認証情報が漏洩し、第三者による不正アクセスでリポジトリ(プログラムの保管庫)がコピーされたことが判明したとして第一報を公表しました。

リポジトリに含まれていたファイル内の個人情報の一部として、マネーフォワードビジネスカードに関わる370件のカード保持者名(アルファベット)およびカード番号の下4桁が流出した可能性があることが確認されています。またソースコード自体も流出した可能性があるとしています。

銀行口座連携機能は現在一時停止中です。認証情報の再発行は概ね完了しており、確認作業が完了次第、順次再開する予定としています。

続報:マネーフォワードの不正アクセス 本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定

この記事のサマリー

  • GitHub認証情報の漏洩を起因として、第三者がマネーフォワードグループのGitHubリポジトリに不正アクセスし、リポジトリをコピーしました。
  • 流出した可能性がある個人情報はマネーフォワードビジネスカードのカード保持者名(アルファベット)およびカード番号下4桁の370件クレジットカード番号の全桁・有効期限・セキュリティコード(CVV)の流出は現時点で確認されていません
  • ソースコード自体も流出した可能性があります。ソースコードの流出は、内部ロジックの解析・他の脆弱性発見・サービス構造の把握に悪用されるリスクがあります。
  • 事象発覚後、**不正アクセスの経路となった認証情報の無効化・アカウントの遮断(完了)およびソースコードに含まれる各種認証キー・パスワードの無効化と再発行(概ね完了)**を実施しています。
  • 銀行法に基づく電子決済等代行業者としての責任を鑑み、銀行口座連携機能を一時停止しています。
  • 本番データベースからの情報漏洩・流出情報の不正利用による被害は現時点で確認されていません

事案の概要

項目 内容
公表日 2026年5月1日(第一報)
インシデントの内容 GitHubの認証情報が漏洩し、第三者がリポジトリへ不正アクセスしコピー
流出した可能性のある情報① ソースコード
流出した可能性のある情報② マネーフォワードビジネスカードのカード保持者名(アルファベット)・カード番号下4桁 370件
クレジットカード全桁・CVVの流出 現時点で確認されていない
本番DBからの情報漏洩 確認されていない
不正利用による被害 現時点で確認されていない
現在の対応 認証情報の無効化・再発行(概ね完了)、銀行連携機能を一時停止
対象者への対応 該当する方にメール等で個別に連絡

本件の問題点

本件で最も注目すべき問題点は、「リポジトリをコピーされた→その中に認証キー・パスワード等が含まれていた」という点です。

マネーフォワードは発覚後の対応として「ソースコードに含まれる各種認証キー・パスワードの無効化と再発行を実施した」としています。これは裏を返せば、GitHubのリポジトリ(ソースコードの保管庫)の中に本来あるべきではない認証情報がハードコード(コードに直接埋め込まれた状態)されていた可能性を示しています。

ソースコードへの認証情報のハードコードはセキュリティ上の大原則違反です。AWS・GCP・Azure等のクラウドサービスのAPIキー、データベースのパスワード、外部サービスのトークン等の認証情報は環境変数・シークレット管理サービス(AWS Secrets Manager・GitHub Secrets等)に分離して管理し、ソースコード内に直接記述しないことが鉄則です。

この問題が広く認識されているにもかかわらず、今も多くの開発現場でハードコードによる認証情報の流出事故が起きています。GitHubのリポジトリが公開設定になっていたり、プライベートリポジトリでも認証情報の管理が不十分だったりすることが、被害の拡大を招きます。

2つの流出リスクの深刻性

①カード情報の流出リスク

今回の370件はカード保持者名(アルファベット)とカード番号の下4桁のみとされており、クレジットカード番号の全桁・有効期限・CVVの流出は確認されていません。現時点では直接的なカード不正利用のリスクは限定的とみられますが、氏名とカード番号の一部(下4桁)の組み合わせは、ソーシャルエンジニアリングや標的型詐欺メール(「マネーフォワードの不正利用に関するご連絡」等を装うフィッシング)の素材として悪用されるリスクがあります。

②ソースコードの流出リスク

ソースコードそのものの流出は、カード情報の流出とは異なる性質の深刻なリスクを内包します。ソースコードが流出した場合、攻撃者は内部ロジックを解析して未知の脆弱性を発見できる可能性があります。また、外部サービスとの連携部分の実装を把握することで、APIの悪用や認証フローの迂回を試みる攻撃が設計しやすくなります。フィンテック企業として銀行口座連携・決済・請求書処理等の機微なサービスを多数提供しているマネーフォワードにとって、ソースコードの流出は中長期的なセキュリティリスクとなり得ます。

銀行連携機能の一時停止——電子決済等代行業者としての対応

マネーフォワードは銀行法に基づく電子決済等代行業者として金融庁への登録を受けており、銀行口座へのアクセス機能(銀行連携)を提供しています。今回の不正アクセスを受け、提携金融機関との安全性確認を万全なものとするため、銀行口座連携機能を一時的に停止しています。

マネーフォワードME(家計簿アプリ)・マネーフォワードクラウド等で銀行口座の残高・明細の自動取得を利用しているユーザー・法人は、再開まで手動での入力が必要な状態となっています。再開時期については「認証情報の再発行(洗い替え)を概ね完了しており、すべての確認作業が完了次第、順次再開する予定」としています。

連携再開に向けて対応進行中のサービス

  • 三井住友DSアセットマネジメント(三井住友DS投信直販ネット)
  • ユナイテッド航空マイレージ
  • クラブ・オン/ミレニアムポイント
  • りそなNetアンサーplus
  • BTCBOX
  • みんなのFX(FX・シストレ・オプション)
  • Light FX
  • 三井住友カード (VpassID)
  • 三井住友カード (SMBC ID)
  • SMBCプラチナカード
  • SMBC日興証券(Next-One)
  • SMBC日興証券
  • セディナカード
  • JPBankカード(VISA・MASTER)
  • PiTaPa倶楽部(メールアドレス以外でログイン)
  • セゾンカード
  • みずほマイレージクラブカード(セゾン)
  • クラブ・オン/ミレニアムカード セゾン
  • VISAカード系列
  • 三菱UFJモルガン・スタンレー証券
  • WealthNavi(ウェルスナビ)
  • 三井住友トラストカード
  • 東急カード
  • かぞくのおさいふ
  • SMBC日興証券(三井住友銀行仲介口座)
  • セゾン投信

一部顧客のみ

  • dカード
  • アメリカン・エキスプレスカード
  • VISA IntelliLink Spend Management
  • Qoo10
  • ウィブル証券

連携再開が未定のサービス

  • ユナイテッド航空マイレージ
  • F・マリノスポイント(JリーグID)

情シス・開発者・セキュリティ担当者へのポイント

本件を自組織のリスクとして受け止めるために確認すべき点は以下の通りです。

GitHubリポジトリへのアクセス権限の棚卸しとして、Personal Access Token(PAT)・OAuthアプリ・GitHub Actionsのシークレット等のアクセス権限を定期的に棚卸しし、不要なトークンを無効化してください。退職者や異動者のアクセス権が残存していないかも確認が必要です。

ソースコードへの認証情報のハードコードの検出と排除として、git-secretstruffleHoggitleaks等のツールを使い、既存のリポジトリに認証情報がハードコードされていないかをスキャンすることが推奨されます。新規コードに対してはCIパイプラインでの自動チェックを組み込んでください。

シークレット管理サービスへの移行として、ソースコードに直接記述している認証情報はAWS Secrets Manager・Azure Key Vault・HashiCorp Vault・GitHub Secretsなどのシークレット管理サービスに移行し、コードと認証情報を分離する体制を整備してください。

よくある質問(FAQ)

Q. マネーフォワードMEやマネーフォワードクラウドのユーザーは何をすべきですか? マネーフォワードビジネスカードのカード保持者(370件)には個別に連絡があります。それ以外のユーザーについては現時点で本番データベースからの情報漏洩は確認されていないとされています。銀行連携機能の再開連絡を待ちながら、マネーフォワードからのメールを装ったフィッシングメールに注意してください。

Q. クレジットカードの不正利用を心配する必要がありますか? クレジットカード番号の全桁・有効期限・CVVの流出は現時点で確認されていないとのことです。ただし、カード名義人名と下4桁の組み合わせを使ったフィッシング詐欺(本物らしく見せるための素材として使われる)には引き続き注意が必要です。

Q. 銀行口座のデータは漏洩していますか? 本番データベースからの情報漏洩は確認されていないとしています。ただし、銀行連携に関するソースコードが流出している場合、中長期的なリスクが存在する可能性はあります。

Q. ソースコードの流出によってどのようなリスクがありますか? ソースコードが流出した場合、攻撃者が内部実装を解析することで、公表されていない脆弱性の発見・認証フローの迂回・APIの悪用といった二次攻撃のリスクがあります。マネーフォワードが今後実施する調査・修正の内容が注目されます。

参考情報

関連記事

マネーフォワードの不正アクセス本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定マネーフォワードの不正アクセス 本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定 いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年最新】いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】 東北大学・東北大学病院、教員PCを踏み台とした不正アクセスで治験患者の個人情報が漏洩のおそれ東北大学・東北大学病院、教員PCを踏み台とした不正アクセスで治験患者の個人情報が漏洩のおそれ メットライフ生命、出向先代理店36社から2,476件の内部情報を無断持ち出し—国内生保業界で最多規模メットライフ生命、出向先代理店36社から2,476件の内部情報を無断持ち出し—国内生保業界で最多規模 イエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れイエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れ 新潟市、民生委員に提供した高齢者・児童ら1万4,448人分の名簿を紛失新潟市、民生委員に提供した高齢者・児童ら1万4,448人分の名簿を紛失 マネーフォワード 第三者のアカウント不正利用と大量のメール送付に関する注意喚起マネーフォワード 第三者のアカウント不正利用と大量のメール送付に関する注意喚起 ジェイアール東海高島屋、アルバイト応募サーバーへの不正アクセスとランサムウェアの感染疑い-個人情報漏洩の恐れジェイアール東海高島屋、アルバイト応募サーバーへの不正アクセスとランサムウェアの感染疑い-個人情報漏洩の恐れ サンリオ、常務取締役の不適切報酬で2026年3月期決算発表を延期サンリオ、常務取締役の不適切報酬で2026年3月期決算発表を延期