2026年6月9日、マネーフォワードME(株式会社マネーフォワード/株式会社Money Forward HOME)は、2026年5月1日に発生したGitHubへの不正アクセスに関する最新状況を更新し、「2026年6月5日10時50分をもってすべての銀行の連携が再開した」ことを正式に案内しました。
5月1日の第一報から数えると約35日間、多くのユーザーが銀行口座の自動更新を利用できない状態が続いたことになります。今回の事案が情報セキュリティの観点で重要な理由は2点あります。
第一に、「なぜGitHubに個人情報が含まれていたのか」という問いに対して、同社が「個人情報の取り扱いを伴うサービスの更新作業を行う過程で、個人情報が含まれたファイルが本来の管理手順から外れ誤ってGitHub上に保管されていた」と説明しており、GitHubを利用する多くの開発組織にとって他人事ではない「ソースコードリポジトリへの個人情報の誤混入」というリスクを改めて提示している点です。
第二に、本番データベースの顧客情報や金融機関への連携情報は漏洩していないものの、マネーフォワードビジネスカード370件のカード保持者名(アルファベット)とカード番号下4桁が漏洩していたことです。本記事ではGitHub不正アクセスの発生から銀行連携再開までの全経緯・漏洩情報の内容・未再開のサービス・情報システム担当者への教訓を整理します。
サマリー
- 2026年6月5日10時50分:すべての銀行口座連携が再開完了(マネーフォワードME・2026年6月9日更新で確認)
- 2026年5月1日:GitHubへの不正アクセスが発生・ソースコードが閲覧・コピーされたことが判明→銀行口座連携機能を一時停止
- 漏洩が確認された情報:マネーフォワードビジネスカード370件のカード保持者名(アルファベット)とカード番号下4桁
- 漏洩していないことが確認された情報:本番データベースの顧客情報(家計・資産情報)・金融機関等連携先のログインに必要な情報
- 「なぜGitHubに個人情報が含まれていたか」:「個人情報の取り扱いを伴うサービスの更新作業を行う過程で、個人情報が含まれたファイルが本来の管理手順から外れ誤ってGitHub上に保管されていた」
- 2026年5月12日:セキュリティ対策・再発防止策を実施後、銀行口座連携の順次再開を開始
- 2026年5月20日:プレミアムサービス購読期間を15日間延長することを決定
- 連携再開の目処が立っていない残存3サービス:ユナイテッド航空マイレージ・F・マリノスポイント(JリーグID)・BTCBOX
- 管轄の警察署・個人情報保護委員会・関係官庁への報告・相談等の対応を実施済み
目次
GitHub不正アクセスの発生から連携再開までの全経緯
マネーフォワードMEサポートサイトの公式お知らせが示す経緯は以下のとおりです。
2026年5月1日(第一報):第三者によるGitHubへの不正なアクセスが発生し、マネーフォワードグループが提供するサービスのソースコードが閲覧・コピーされたことが判明。金融情報を含むデータベースからの情報漏洩は現時点では確認されていないとしながらも、各提携金融機関との安全性確認を万全にするため、銀行口座連携機能を一時的に停止。
2026年5月3日(追記):流出したソースコードや個人情報の不正利用被害・本番データベースの顧客情報漏洩は確認されていないことを報告。一方で、グループ会社のマネーフォワードケッサイ株式会社が提供する「マネーフォワードビジネスカード」370件のカード保持者名(アルファベット)とカード番号下4桁が漏洩したことを同時に公表(別途プレスリリース)。
また同日、「なぜGitHubに個人情報が含まれていたか」という疑問に対する公式回答も公開されました(後述)。
2026年5月11日(第二報):詳細調査の進捗を報告。本番データベースに格納された顧客情報の漏洩がないこと・本番環境データへの侵害・改ざんがないことを確認。「現時点でパスワード変更等の対応をお願いする事項はない」と明示。ただし、GitHubおよびリポジトリに含まれる個人情報の漏洩範囲については精査を継続。
2026年5月12日:セキュリティ対策および再発防止策等を実施し、システム全体の安全性確認が完了したとして、銀行口座連携機能の順次再開を開始。
2026年5月20日:プレミアムサービス利用ユーザーの購読期間を15日間延長することを決定。
2026年6月5日10時50分:すべての銀行連携が再開完了。
2026年6月9日11時20分(最終更新):連携再開完了の案内を最終確認。一部の残存サービス(後述)については引き続き対応中と案内。
なぜGitHubに個人情報が含まれていたのか
マネーフォワードが公式FAQで明示した理由は以下のとおりです。
「通常、GitHub上に保存するソースコードに個人情報の入力はございません。しかしながら、個人情報の取り扱いを伴うサービスの更新作業を行う過程で、個人情報が含まれたファイルが本来の管理手順から外れ誤ってGitHub上に保管されていたことが、下記プレスリリース記載の事象の原因でございます。」
この説明が持つ意味は重要です。今回の事案は「GitHubのアクセス制御が不十分だった」という問題だけでなく、「更新作業時のフローに個人情報が混入するプロセスが存在していた」という上流の問題を示しています。具体的には、テスト・デバッグ・マイグレーション作業において本番データを使用し、そのファイルを誤ってリポジトリにコミットしてしまうというパターンで、これは多くの開発組織で発生しうるリスクです。
本事案は、当サイトが4月から継続取材しているCAMPFIREのGitHub不正アクセス事案と同様の「GitHubへの不正アクセスを起点にした個人情報漏洩」というパターンです。
CAMPFIREの事案では最大225,846件の個人情報漏洩という大規模な被害が確認されていますが、マネーフォワードの場合は本番データベースへの侵害は確認されておらず、被害規模という観点では限定的でした。ただし、銀行口座連携機能という基幹機能が35日間にわたって停止したことのユーザーへの影響は大きなものがありました。
漏洩が確認された情報と確認されていない情報の整理
| 情報種別 | 状況 |
|---|---|
| マネーフォワードビジネスカード 370件 | 漏洩確認済み(カード保持者名アルファベット・カード番号下4桁) |
| ソースコード | 閲覧・コピーされたことを確認 |
| GitHubリポジトリの個人情報 | 漏洩範囲は精査継続(全容は未確定) |
| 本番データベースの顧客情報(家計・資産情報) | 漏洩なし確認 |
| 金融機関等連携先のログインに必要な情報 | 漏洩なし確認(本番環境DBに暗号化保存・アクセス制限) |
| クレジットカード情報(ビジネスカード以外) | 漏洩なし確認 |
特に「金融機関等連携先のログインに必要な情報」が漏洩していないことは、今回の事案でユーザーが最も懸念したポイントです。マネーフォワードはこれをソースコードの一部としてではなく、「本番環境のデータベースに暗号化して保存し、アクセスについては制限を設け、厳重な管理・運用を行なっている」と説明しており、パスワード変更等の対応は不要としています。
連携再開の目処が立っていない3サービス
2026年6月9日現在、大多数の銀行口座連携は再開していますが、連携再開の目処が立っていない金融関連サービス一覧ページによれば、以下の3サービスについては「諸問題が発生し、新規連携および再連携ができない状態」が継続しています。
| サービス | 備考 |
|---|---|
| ユナイテッド航空マイレージ | 自動取得・手動更新とも不可 |
| F・マリノスポイント(JリーグID) | 自動取得・手動更新とも不可 |
| BTCBOX(暗号資産取引所) | 自動取得・手動更新とも不可 |
なお、マネーフォワードは「今後の状況によっては、弊社サービスでの連携を終了する可能性もある」と明示しており、連携終了の場合は該当口座に「自動取得を停止いたしました。」のメッセージが表示されます。
情報システム担当者が取るべき教訓
GitHubリポジトリへの個人情報混入の防止:今回の事案で示された「更新作業時の個人情報の誤コミット」は、多くのSaaS開発組織にとって他人事ではないリスクです。本番データを使用したテスト・デバッグの禁止(匿名化・マスキングされたデータのみ使用)、GitHubシークレットスキャン(Secret Scanning)の有効化と個人情報検出ルールの追加、プルリクエスト前の個人情報混入チェックの自動化(pre-commit hookの活用)、.gitignoreの適切な設定(ログファイル・テストデータファイルの除外)が基本的な対策です。
GitHubへの不正アクセス対策:当サイトのCAMPFIRE事案記事でも報告しているように、GitHubアカウントへの不正アクセスは2026年以降に複数の日本企業で発生しています。GitHubアカウントへのMFA(多要素認証)の全メンバーへの強制適用、SSHキーおよびPersonal Access Token(PAT)の定期的な棚卸し・無効化、リポジトリのアクセス権限の最小権限原則(Least Privilege)の徹底が重要です。
金融系SaaSの停止リスクへの備え:今回は銀行口座連携機能が35日間にわたって停止しました。マネーフォワードMEのような外部サービスに業務の重要な機能を依存している場合、そのサービスが長期停止した際の代替手段・業務継続計画(BCP)を事前に検討しておくことが求められます。
FAQ
Q. マネーフォワードMEに連携している銀行口座のパスワードを変更する必要がありますか? A. マネーフォワードは「現時点でパスワード変更等の対応をお願いする事項はない」と公式に明示しています。金融機関等連携先のログインに必要な情報は本番環境のデータベースに暗号化して保存されており、今回のGitHub不正アクセス事案の影響は確認されていません。
Q. 銀行口座連携はすべて再開されましたか? A. 2026年6月5日10時50分をもってすべての銀行の連携が再開しています。ただしユナイテッド航空マイレージ・F・マリノスポイント(JリーグID)・BTCBOXの3サービスは「諸問題が発生し、新規連携および再連携ができない状態」が継続しています。
Q. ビジネスカードの情報が漏洩した場合、どう対応すればよいですか? A. マネーフォワードビジネスカードをご利用の方は、カード会社(マネーフォワードケッサイ株式会社)からの個別連絡を確認してください。漏洩したのはカード保持者名(アルファベット)とカード番号下4桁のみで、カード番号全桁・有効期限・セキュリティコードは対象外とされています。不審な取引がある場合はカード会社に連絡してください。
Q. プレミアムサービスの購読期間延長はいつ適用されますか? A. 2026年5月20日に「プレミアムサービスの購読期間を15日間延長する」ことが決定されています。詳細な適用方法についてはマネーフォワードのお詫びページをご参照ください。
参考情報
- マネーフォワードMEサポートサイト「GitHubへの不正アクセス発生および銀行口座連携機能の一時停止に関するお知らせ(2026年6月9日11時20分更新)」
- マネーフォワードMEサポートサイト「連携再開の目処が立っていない金融関連サービス一覧」
- 株式会社マネーフォワード公式「GitHubへの不正アクセス発生に関するお知らせとお詫び(第一報)」
- 株式会社マネーフォワード公式「GitHubへの不正アクセスに関する調査進捗および銀行口座連携再開に向けた経過のご報告(第二報)」
- 当サイト関連記事:マネーフォワード、GitHubへの不正アクセスでビジネスカード情報370件・ソースコード流出の可能性(第一報)
- 当サイト関連記事:CAMPFIRE、GitHubへの不正アクセスで最大22万5,846件の個人情報漏洩の恐れ
- 当サイト関連記事:CAMPFIRE、GitHubアカウントへの不正アクセスを公表(第一報)
- 当サイト関連記事:GitHubの内部リポジトリへの不正アクセス・VS Code拡張機能から侵害される
- 関連:サイバー攻撃・情報漏えい最新事例まとめ2026
- 関連:2026年5月 個人情報漏洩まとめ
関連記事
マネーフォワード、GitHubへの不正アクセスでビジネスカード 情報370件・ソースコード流出の可能性
いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】
マネーフォワードの不正アクセス 本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定
イエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れ
東北大学・東北大学病院、教員PCを踏み台とした不正アクセスで治験患者の個人情報が漏洩のおそれ
メットライフ生命、出向先代理店36社から2,476件の内部情報を無断持ち出し—国内生保業界で最多規模
マネーフォワード、不正アクセスから11日ぶりに銀行口座連携を順次再開
新潟市、民生委員に提供した高齢者・児童ら1万4,448人分の名簿を紛失
オムニバス・ジャパンのランサムウェア 被害 調査完了-関係者と従業員の個人情報流出の恐れ
