株式会社マネーフォワードは2026年5月1日、ソフトウェア開発およびシステム管理に利用しているGitHubの認証情報が漏えいし、第三者による不正アクセスによってリポジトリがコピーされたと発表した。ソースコードおよびリポジトリ内ファイルに記載されていた個人情報の一部が流出した可能性がある。
流出した可能性がある個人情報は、マネーフォワードケッサイ株式会社が提供する『マネーフォワード ビジネスカード』に関わる370件の「カード保持者名(アルファベット)」および「カード番号の下4桁」である。クレジットカード番号の全桁、有効期限、セキュリティコード(CVV)の流出は確認されていない。
同社は不正アクセスの経路となった認証情報の無効化およびアカウント遮断を完了し、ソースコードに含まれる認証キーおよびパスワードの無効化と再発行を概ね完了したとしている。銀行口座連携機能は一時停止している。
From: 
『GitHub』への不正アクセス発生に関するお知らせとお詫び(第一報)|株式会社マネーフォワード
【編集部解説】
このニュースを単なる「セキュリティ事故」として読み流すのは、やや惜しいと感じています。マネーフォワードは家計簿アプリで知られる企業ですが、その実態は銀行法に基づく電子決済等代行業者として、数百もの金融機関と接続する社会インフラに近い立ち位置にあるからです。今回の一件は、フィンテックという領域が抱える構造的な脆さを、わかりやすい形で浮き彫りにした事案だと受け止めています。
まず押さえておきたいのは、攻撃者が触れたのは「本番データベース」ではなく「GitHub上のリポジトリ」だという点です。本来、リポジトリにあるべきはプログラムの設計図、つまりソースコードだけのはず。にもかかわらず、結果として370件分のカード保持者名とカード番号下4桁が流出した可能性が出てきました。ここに、本件の本質が潜んでいます。
GitHubは世界中の開発現場で使われる標準的な基盤であり、認証情報が漏えいする経路は数多く存在します。一般論として、フィッシング、マルウェア感染、開発者端末の盗難、誤公開など、多要素認証を導入していても完全には塞ぎきれないケースが知られています。つまり「GitHubの鍵が漏れ得ること」自体は、どの企業でも起こり得るリスクとして織り込んでおくべき性質のものだと言えるでしょう。なお、本件の具体的な侵害経路については現時点で公表されておらず、続報を待つ必要があります。
注目したいのは、漏れた後の被害の大きさを決める「リポジトリの中身」です。今回はリポジトリにカード保持者情報や認証キーが含まれていたことが、被害可能性の範囲を押し広げる結果となりました。エンジニアの世界では「シークレット管理」と呼ばれる領域で、コードと機密情報を物理的・運用的に分離する設計思想が長年議論されてきましたが、運用の現場で徹底するのは想像以上に難しいというのが実情です。第一報の段階では詳細な原因や運用上の経緯までは公表されていないため、構造的な論点として捉えておくのが妥当でしょう。
同社の対応で注目したいのは、銀行口座連携機能を自ら一時停止する判断を下した点です。利用者の利便性を一時的に大きく損なう措置ですが、提携金融機関との安全性確認を優先したこの決断は、フィンテック事業者としての矜持を示す対応だったと評価できます。電子決済等代行業者は、2017年に成立し2018年に施行された改正銀行法によって金融機関との適切な接続契約や安全管理体制が求められる立場にあり、ここで不透明な対応を取れば信頼の毀損は事故そのもの以上に深刻になります。
公表のスピード感もまた、現代的なクライシスマネジメントの型に沿ったものでした。全容解明を待たず「わかっている範囲」を出す姿勢は、2022年4月に施行された改正個人情報保護法が求める「速報」と「確報」の二段階報告の運用とも整合しています。
長期的な視点で見ると、本件は日本のフィンテック業界全体に対する「シークレットスキャン」「Push Protection」「最小権限の原則」といった開発セキュリティ実務の見直しを促す契機になるはずです。GitHub自体も2023年から段階的に多要素認証を必須化する方針を打ち出し、コード貢献者へと対象を拡大してきました。それでも今回のような事案は防ぎ切れていないのが現実です。「鍵が漏れる前提で、被害を小さく封じ込める設計に切り替えられるか」が、次の数年の業界標準になっていくでしょう。
利用者として気をつけたいのは、流出した可能性のある「氏名と下4桁」という情報が、フィッシング詐欺の精度を上げる材料として悪用されかねないことです。「あなたのカード末尾◯◯◯◯に不審な動きが」といった巧妙ななりすましメールが届いた場合、本物に見えてしまう危険があります。カードを直ちに止める必要はありませんが、利用明細の確認頻度を一段上げ、不審なメールやSMSへの警戒を強めておくのが現実的な防衛策です。
第一報の段階で、すでに「ソースコード内の認証キー・パスワードの無効化と再発行は概ね完了」と踏み込んだ開示がなされている点は、調査の進捗を読み取るうえで重要なシグナルです。続報でどこまで原因と再発防止策を踏み込んで開示できるかが、企業としての真価が問われる局面になります。
【用語解説】
リポジトリ(Repository)
ソフトウェア開発において、ソースコードや関連ファイルをバージョン管理しながら保管しておく領域のこと。プログラムの「設計図倉庫」にあたり、開発履歴・変更点・ブランチがすべて記録される。本件ではこのリポジトリ単位でコピーが行われた。
セキュリティコード(CVV / CVC)
クレジットカード裏面(または表面)に印字されている3〜4桁の数字。Card Verification Value の略で、オンライン決済時の本人確認に使われる。本件では流出が確認されていない、と公表されている重要項目である。
電子決済等代行業者
2017年に成立し2018年6月に施行された改正銀行法で定義された業種で、利用者と銀行のあいだに立ち、口座情報の取得や送金指図の伝達を仲介する事業者を指す。マネーフォワードのような家計簿・会計サービスはこの登録を受けて運営されており、金融機関と同等水準のセキュリティ・ガバナンス体制が求められる。
多要素認証(MFA)/2要素認証(2FA)
パスワードに加えて、スマートフォンへの通知やワンタイムコード、生体情報など別系統の要素を組み合わせて本人を確認する仕組み。GitHubは2023年から段階的にコード貢献者への必須化を進めてきたが、それでもフィッシングなどで突破される事例は後を絶たない。
シークレット管理(Secret Management)
APIキー、パスワード、トークン、暗号鍵といった「秘匿すべき認証情報」をソースコードと分離し、専用の保管庫(HashiCorp Vault、AWS Secrets Manager等)で管理する設計思想・運用手法。本件のように、リポジトリにシークレットが混入したまま流出すると被害が連鎖する。
Push Protection/シークレットスキャン
GitHubが提供する機能。コードをpush(アップロード)する瞬間に、APIキーやトークンらしき文字列が含まれていないかを自動検出し、含まれていればブロックまたは警告する仕組み。シークレット混入を「事後発見」ではなく「事前防止」する仕組みとして広く推奨されている。
改正個人情報保護法(速報・確報)
2022年4月施行。一定要件に該当する漏えい事案では、個人情報保護委員会への「速報(概ね3〜5日以内)」と「確報(30日または60日以内)」の二段階報告が義務付けられている。不正アクセスによる漏えいは件数を問わず報告対象である。
最小権限の原則(Principle of Least Privilege)
情報セキュリティの基本原則のひとつ。ユーザー・プログラム・APIキーに与える権限を、業務遂行に必要な最小限の範囲に限定する考え方。鍵が漏れた場合の被害範囲を抑える設計の土台となる。
【参考リンク】
株式会社マネーフォワード コーポレートサイト(外部)
家計簿アプリやクラウドサービスを提供する東証プライム上場のフィンテック企業の公式サイト。
マネーフォワードケッサイ株式会社(外部)
企業間後払い決済や法人カード「マネーフォワード ビジネスカード」を提供する事業会社の公式サイト。
マネーフォワード ビジネスカード(外部)
法人・個人事業主向けに発行されるVisaブランドのビジネスカードの公式サービスサイトである。
GitHub(外部)
米国GitHub社が提供する世界最大のソースコード管理プラットフォームの公式サイト。
GitHub Docs シークレットスキャン公式ドキュメント(外部)
GitHub公式によるシークレットスキャンとPush Protectionの仕組みを解説した一次情報である。
個人情報保護委員会(外部)
個人情報保護法を所管する国の行政機関の公式サイト。漏えい報告義務の一次情報源である。
【参考記事】
マネーフォワード、GitHubに不正アクセス 銀行口座連携を一時停止|Impress Watch(外部)
GitHub認証情報漏えいによりリポジトリがコピーされた経緯と銀行連携停止について整理した一次報道。
マネーフォワード、GitHubからソースコードと一部ユーザー情報流出か|ITmedia NEWS(外部)
ビジネスカード保持者370件の氏名と下4桁流出の可能性、対応状況を網羅的にまとめた報道記事。
GitHubへの不正アクセスでビジネスカード情報370件流出の可能性|セキュリティ対策Lab(外部)
セキュリティ専門メディアによる流出範囲・初動対応・問い合わせ窓口を網羅した実務的な解説記事。
マネーフォワード、GitHubに不正アクセス リポジトリのコピーと一部個人情報流出の可能性|CCSI(外部)
発生日・検知日・公表日・対応進捗を時系列で整理し、第一報段階の不明事項を明示した分析記事。
マネーフォワードのGitHub不正アクセス事件をエンジニア視点で読み解く|Zenn(外部)
GitHubが多要素認証必須化を進めるなかでも残る突破経路と、シークレット管理の構造的問題を分析。
MoneyFowardがやられただと?それもGitHubだと|IT中小企業診断士(外部)
2021年Codecov事案や改正個人情報保護法との比較を含む、サプライチェーン視点の分析記事。
【関連記事】
GitHubリポジトリ、未知の攻撃者「Gitloker」によるサイバー恐喝の餌食に
GitHubリポジトリを盗むサイバー恐喝事案。認証情報奪取の手口に共通点あり。
Microsoft 365・GitHub狙う新型OAuth攻撃が急増中
GitHub認証情報を狙うOAuthフィッシング攻撃。MFAバイパス論点で関連。
GitHub大規模侵害!EmeraldWhale攻撃で1TB超のデータ流出
GitHubから大規模に認証情報が抜き取られた事案。シークレット管理の文脈で関連。
GitHub Python認証トークン流出事案:11年間の露出
公開リポジトリへのトークンコミット事案。本件のシークレット管理論点と重なる。
ユナイテッドアローズ情報漏えい事案が問う、クラウド時代の退職者アクセス管理の限界
日本企業の個人情報漏えい事案。改正個人情報保護法の「速報・確報」の文脈で類似。
【編集部後記】
みなさんのスマホやPCには、銀行口座やクレジットカードを連携させたサービスがいくつくらい入っているでしょうか。今回の一件は、便利さを提供してくれている裏側で、開発者の方々が日々セキュリティと向き合ってくださっていることを、改めて考えるきっかけになりました。
「自分には関係ない技術トピック」と感じやすいGitHubやリポジトリの話題ですが、その小さなほころびが私たちの財布や家計に届くまで、思った以上に距離は短いのかもしれません。次にフィッシングらしいメールが届いたとき、いつもより少しだけ慎重に差出人を見てみる──そんな小さな習慣を、一緒に育てていけたらうれしいです。
