1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. マネーフォワード、不正アクセス 調査 完了- 従業員2,300名・顧客固有識別子60,449名分の情報漏洩の恐れが確定

マネーフォワード、不正アクセス 調査 完了- 従業員2,300名・顧客固有識別子60,449名分の情報漏洩の恐れが確定

セキュリティニュース

投稿日時: 更新日時:

マネーフォワード、不正アクセス 調査 完了- 従業員2,300名・顧客固有識別子60,449名分の情報漏洩の恐れが確定

株式会社マネーフォワードは2026年6月23日、同社グループが利用するソースコード管理サービス「GitHub」への不正アクセスについて、詳細調査の完了を第四報として公表しました。

2026年5月1日の第一報から約53日間にわたる調査の結果、漏洩の可能性がある個人データの全容が確定し、従業員(退職者含む)2,300名分・顧客124名分・取引先28名分・顧客の固有識別子60,449名分が対象範囲として特定されました。同日付で個人情報保護委員会および金融庁への確定報告が提出されています。本件は認証情報の漏洩を発端として、開発環境のGitHubリポジトリに誤って保管されていた個人情報が外部に持ち出された事案であり、本番データベースへの侵害・顧客資産への影響は一切確認されていません。

サマリー

  • 第四報発表日:2026年6月23日(第一報から約53日)
  • 対象:株式会社マネーフォワード、マネーフォワードホーム株式会社、マネーフォワードケッサイ株式会社、マネーフォワードエックス株式会社、マネーフォワードコンサルティング株式会社
  • 漏洩の可能性が確定した範囲(今報で精査完了):
    • 顧客の氏名またはメールアドレス:124名分(氏名100件、メールアドレス24件)
    • 取引先情報:28名分(氏名5件、メールアドレス23件)
    • 従業員(退職者含む):2,300名分(固有識別子373件、氏名490件、メールアドレス1,807件、電話番号305件)
    • 顧客の固有識別子(単体では個人特定不可):60,449名分
    • ※第一報からのカード保持者名・カード番号下4桁 370件は上記と別に報告済み
  • 本番データベースへの侵害・顧客資産への影響:確認なし
  • 個人情報保護委員会・金融庁への確定報告:2026年6月23日に提出済み
  • 二次被害:現時点で確認なし
  • 銀行口座連携機能:2026年6月5日にすべての銀行との連携が再開済み

何が起きたか

2026年5月1日(第一報)、マネーフォワードグループは同社が利用するGitHubの認証情報が漏洩し、第三者がその認証情報を使ってGitHubに不正アクセスし、リポジトリをコピーしたことが判明したと公表しました。この時点で確認された漏洩情報は、マネーフォワードケッサイが提供するマネーフォワードビジネスカードに関わる370件のカード保持者名(アルファベット)とカード番号の下4桁でした。同時に、銀行法に基づく電子決済等代行業者としての責任から、すべての銀行口座連携機能を一時停止する対応を取っています。

5月11日(第二報)には、本番データベースへの侵害・改ざんがないこと、本件に起因する顧客の金融情報への影響がないことを確認したと発表しました。あわせて個人情報保護委員会への速報、関東財務局をはじめとする監督官庁への報告、管轄警察署への届出を完了したことも明らかにしました。一方でGitHubリポジトリに含まれていた個人情報の全容は精査中として、調査継続が告知されています。

5月12日からはセキュリティ対策と再発防止策の実施完了を受け、銀行口座連携機能の順次再開が始まりました。6月5日にはすべての銀行との連携が再開し、6月9日(第三報)にその旨が正式に案内されています。第一報からの停止期間は約35日間に及びました。

そして6月23日(第四報)、約53日間の詳細調査が完了し、漏洩の可能性がある個人データの全容が確定しました。個人情報保護委員会および金融庁への確定報告が同日付で提出されており、今回の公表が一連の対応における最終報告にあたります。

概要

今回の事案の構造は、起点となる「認証情報の漏洩」と、それによって露出した「リポジトリへの個人情報の誤混入」という2つの問題が組み合わさることで被害が生じたものです。

GitHubへのアクセス権限を持つ認証情報が何らかの手段で攻撃者に入手され、その認証情報を使ってリポジトリがコピーされました。コピーされたリポジトリの中に、本来は開発環境に含まれるべきではなかった個人情報が混入していたことで、情報漏洩が発生しています。

漏洩範囲の精査は4か月弱を要しましたが、最終的に確定した対象は従業員2,300名分が最も大きな割合を占めています。

内訳はメールアドレス1,807件、電話番号305件、氏名490件、システム上の固有識別子373件で、退職者も含まれています。顧客については、氏名またはメールアドレスが特定できる形で124名分が対象となり、取引先については28名分が確認されました。

また、顧客の固有識別子については60,449名分が対象となっていますが、これは氏名・メールアドレス等を含まず、単体では個人を特定できない最大19桁の管理用番号です。同社はこれについても個人情報保護法の規定に従い、対象者への通知を行っています。

原因

本事案の根本には2つの問題が連鎖しています。

ひとつ目は、GitHub認証情報そのものの漏洩です。

第四報では「本件の発端となった認証情報の漏えいへの対策として、業務端末におけるセキュリティ統制をさらに強化した」と記述されており、認証情報が業務端末を起点として漏洩したことが示唆されています。

具体的な漏洩経路は公表されていませんが、業務端末へのマルウェア感染(インフォスティーラーなど)やフィッシングによるGitHub認証情報の窃取が想定される経路です。第四報で新たに「安全な通信統制基盤の導入により、認可外の外部サイトやクラウドサービスへのアクセスをシステム的に遮断する仕組みを構築した」という再発防止策が盛り込まれていることも、業務端末からの不正な通信が認証情報漏洩に関与していた可能性を裏付けています。

ふたつ目は、GitHubリポジトリへの個人情報の誤混入です。

同社は第三報に相当するFAQにおいて、「個人情報の取り扱いを伴うサービスの更新作業を行う過程で、個人情報が含まれたファイルが本来の管理手順から外れ誤ってGitHub上に保管されていた」と説明しています。本来ソースコードに個人情報を含めてはならないというルールが存在しながらも、更新作業の過程でそのルールが守られなかった、あるいは開発フロー上で検知できなかった状況が生じていたことになります。

2つの問題が重なった結果、認証情報の窃取という外部からの攻撃が、本来なら影響のなかったはずの個人情報の流出につながりました。

情報システム部門が取るべき対策

本事案が情報システム部門に提示する課題は、GitHubを利用するすべての組織に共通するものです。

GitHub認証情報の保護については、Personal Access Token(PAT)・SSHキー・GitHub Appsの認証情報を誰が・どのような権限で・どの端末から利用しているかを把握し、最小権限の原則に基づいて整理することが出発点です。Fine-grained Personal Access Tokenを使用してリポジトリ単位・操作単位での権限を絞ることや、OAuth App・GitHub Appの許可スコープの定期的な棚卸しも有効です。合わせて、GitHubのOrganization設定でSSO(SAML)と多要素認証(MFA)を全メンバーに必須化することで、認証情報単体が漏洩しても即座に侵害につながらない構造を作れます。

リポジトリへの機密情報・個人情報混入の防止については、GitHubが提供するSecret Scanningと Push Protection を有効化することで、コミット前にAPIキーや認証情報を検知・ブロックできます。個人情報については自動検知の対象外になるケースもあるため、開発フロー上でのレビュープロセスに個人情報チェックを組み込むことが必要です。また、開発・テストに使用するデータはマスキング・匿名化されたダミーデータのみを使用するというルールの徹底が、混入リスクを根本から下げる手段です。

業務端末の通信統制については、今回の再発防止策として同社が導入した「認可外の外部サイトやクラウドサービスへのアクセスをシステム的に遮断する仕組み」はすべての組織で検討に値します。開発者端末はクラウドサービスとの接続が多い一方、フィッシングによる認証情報窃取のリスクも高いため、SWGまたはCASBを用いた通信制御と組み合わせることで、端末を起点とした認証情報漏洩リスクを低減できます。

GitHubの監査ログの定期確認については、GitHubのOrganization監査ログには「リポジトリのクローン」「認証情報の作成」「メンバーの追加」などのイベントが記録されます。このログをSIEMと連携または定期エクスポートで確認する体制を整えることで、今回のような不正なリポジトリコピーの早期検知が可能になります。

FAQ

Q. 第一報で公表されていたカード保持者名・カード番号下4桁 370件と、今回確定した範囲はどういう関係ですか?

A. 第一報で公表されたカード保持者名・カード番号下4桁 370件は、今回の第四報で追加確定した顧客124名分・取引先28名分・従業員2,300名分・固有識別子60,449名分とは別に、第一報以降継続してお知らせしてきた情報です。今回の精査完了の公表は第一報からの追加分が確定したものであり、カード情報370件は引き続き本件の漏洩対象として含まれています。

Q. 顧客の固有識別子60,449名分は個人情報として通知を受けますか?

A. 固有識別子単体では個人を直接特定することはできませんが、同社は個人情報保護法の規定に従い、対象となる方への通知と個人情報保護委員会への報告を行っています。ただし連絡先が把握できていない方については個別通知が困難な状況にあります。

Q. 今回の漏洩によって、ログインパスワードの変更は必要ですか?

A. マネーフォワードは第二報の時点で「現時点でパスワード変更等の対応をお願いする事項はない」と明示しており、第四報においてもその方針は変わっていません。本番データベースへの侵害はないことが確認されており、ログイン情報そのものは漏洩していません。

Q. 銀行口座連携機能の停止期間は補償されますか?

A. 同社は2026年5月20日、プレミアムサービス利用者を対象に購読期間を15日間延長することを決定しています。連携停止期間は第一報(5月1日)から銀行連携完全再開(6月5日)まで約35日間でした。

出典

当サイト関連記事

関連記事

マネーフォワードの不正アクセス本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定マネーフォワードの不正アクセス 本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定 いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年最新】いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】 マネーフォワードが約35日ぶりに全銀行口座連携を再開ーGitHub不正アクセスの全経緯マネーフォワードが約35日ぶりに全銀行口座連携を再開ーGitHub不正アクセスの全経緯 Default Thumbnailマネーフォワード、GitHubへの不正アクセスでビジネスカード 情報370件・ソースコード流出の可能性 イエローハット 子会社「2りんかんアプリ」へのサイバー攻撃、個人情報漏洩の件数は317万9,454名分に確定イエローハット 子会社「2りんかんアプリ」へのサイバー攻撃、個人情報漏洩の件数は317万9,454名分に確定 オムニバス・ジャパンのランサムウェア 被害 調査完了-関係者と従業員の個人情報流出の恐れオムニバス・ジャパンのランサムウェア 被害 調査完了-関係者と従業員の個人情報流出の恐れ マネーフォワード、不正アクセスから11日ぶりに銀行口座連携を順次再開マネーフォワード、不正アクセスから11日ぶりに銀行口座連携を順次再開 イエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れイエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れ メットライフ生命、出向先代理店36社から2,476件の内部情報を無断持ち出し—国内生保業界で最多規模メットライフ生命、出向先代理店36社から2,476件の内部情報を無断持ち出し—国内生保業界で最多規模