Microfund Blog

JAEN

マネーフォワード GitHub不正アクセス事件(2026年5月)― 原因と、本来とるべきだった対策

はじめに:この記事の概要

2026年5月1日、株式会社マネーフォワードが、開発で利用している GitHub アカウントへの不正アクセスにより、リポジトリ(ソースコードの保管庫)がコピーされ、「マネーフォワード ビジネスカード」保有者 370件分の個人情報が流出した可能性があると公表しました。あわせて、各金融機関との安全性確認が完了するまで、銀行口座連携機能を一時停止しています。

本記事では、公開情報に基づいて「何が起きたか」「なぜ起きたか」「本来どう防ぐべきだったか」を整理します。事件の経緯を追うニュース記事ではなく、自社のサービスや開発体制を振り返るための「読み解き記事」として書いています(2026年5月7日時点の情報に基づく)。

この記事の対象読者

  • SaaSやWebサービスの開発・運用に関わるエンジニア、セキュリティ担当者
  • スタートアップや中小企業の経営者・CTO・情報システム責任者
  • 金融系・FinTechサービスを利用しており、自社の業務影響を確認したい方
  • GitHub を使った開発のリスクを、経営側から把握したい方

個別ユーザー向けの「自分はどうすればよいか」というFAQは、マネーフォワード社の公式アナウンスの方が一次情報として正確です。本記事は、同じ事故を自社で起こさないために何を学ぶかに焦点を当てています。

何が起きたのか(事実関係)

本事件で起きた事象の流れ攻撃者何らかの経路でGitHub認証情報(PAT/SSH等)が漏えいリポジトリへ侵入クローン(コピー)情報持ち出しリポジトリに残っていた「本来あるべきでないもの」・ビジネスカード保有者の氏名(アルファベット)と番号下4桁 = 370件・各種APIキー / パスワード / 認証キー(コード内ハードコード)※フルカード番号・有効期限・CVV は含まれていなかったと公表
図1:今回の事件で起きた流れ(公表内容に基づく整理)

マネーフォワード社の第一報および各社報道(INTERNET Watch / Impress Watch / 日経 ほか)を総合すると、判明している事実は以下です。

  • 発表日:2026年5月1日(第一報)。サポートサイトでは5月3日13時時点の更新版も公開。
  • 侵害対象:マネーフォワードが開発で利用している GitHub アカウント。認証情報の漏えいにより、第三者がリポジトリにアクセスし、コピーした。
  • 流出した可能性のある個人情報:マネーフォワードケッサイ社が提供する「マネーフォワード ビジネスカード」に関する370件。内容はカード保持者名(アルファベット表記)カード番号の下4桁
  • 流出していないと確認されたもの:クレジットカード番号の全桁、有効期限、セキュリティコード(CVV)。また、流出ソースコードに金融機関等の連携先ログイン情報は含まれていない、と公表されています。
  • 同社の対応:侵害経路となった認証情報の無効化、ソースコードに含まれていた認証キー・パスワードの無効化と再発行、銀行口座連携機能の一時停止。

具体的な被害者は誰か(影響範囲の整理)

「370件流出」と一言で報じられがちですが、被害の質は対象によってまったく異なります。誰が、どのレベルの被害を受けるのかを分けて整理します。

① 直接の被害者:マネーフォワード ビジネスカード保有者 370名(370件分)

もっとも直接的な被害者は、マネーフォワードケッサイ株式会社が発行する「マネーフォワード ビジネスカード」を保有している法人または個人事業主の、カード名義人 370名分です。ビジネスカードは法人・個人事業主の経費決済用カードのため、被害者の多くは中小企業の経営者・役員・経理担当者・個人事業主と推定されます。

流出した可能性のある情報は次の2点に限定されます。

  • カード保持者名(アルファベット表記):例 “TARO YAMADA” のような表記
  • カード番号の下4桁:例 “****-****-****-1234” の “1234” の部分

具体的に想定される被害は次のとおりです。

  • 標的型フィッシングの精度向上:「○○様のカード(下4桁1234)の利用に関するお知らせ」のように、本物の情報を含めた詐欺メール・SMSが届く可能性が高まる。受信者は「自分のカードと一致している」ため信じやすくなる。
  • 同名・下4桁を流用した二次詐欺:他サービスへのなりすまし問い合わせ、本人確認の補助情報としての悪用など。

一方、カード番号の全桁、有効期限、セキュリティコード(CVV)は流出していないとマネーフォワード社が公表しているため、流出情報のみで直接カードが不正利用される可能性は極めて低いと考えられます。ただし、フィッシング経由で本人が追加情報を入力してしまうと不正利用に至るため、「メールやSMSのリンクから入力させる手口」への警戒は必須です。

② 間接的な影響を受ける利用者:銀行口座連携を使っていた全ユーザー

個人情報の流出対象ではないが、サービス機能の停止という形で実害を受けている利用者群です。マネーフォワード社は安全性確認のため銀行口座連携機能を一時停止しているため、次のサービスのユーザーは一時的に銀行・カード連携の自動更新が利用できません。

  • マネーフォワード ME(個人向け家計簿アプリ)の利用者
  • マネーフォワード クラウド会計/確定申告/給与/請求書/経費 などの中小企業・個人事業主ユーザーで、銀行・カード連携を使っているケース

これらのユーザーは個人情報の流出はありませんが、月次の入出金確認、決算前の仕訳更新、確定申告の準備など、業務スケジュールに影響が出る可能性があります。なお、流出ソースコードに金融機関等の連携先ログイン情報は含まれていない、と公表されているため、銀行のネットバンキングのパスワード変更などは原則不要です。

③ 二次的な影響を受ける可能性がある人:流出ソースコードの依存関係

流出した「ソースコード」の中には、各種APIキー・認証キー・パスワードがハードコードされていたことが、同社の対応(「ソースコード内の認証キー・パスワードを無効化・再発行」)から確認できます。これは、マネーフォワード社が連携している外部サービスのAPIキーや、内部システムの認証情報が一時的に攻撃者の手に渡った可能性があることを意味します。

同社が網羅的にローテーション(再発行)を行っていれば、第三者がそれらの鍵を悪用することはできません。一方で、もし無効化漏れが発生していた場合、連携先サービスの不正利用や、内部システムへの追加侵入が起きうる構造です。この点は同社の続報・第三者調査結果を待つ必要があります。

④ 流出していないと明示された範囲(被害者ではない人)

誤解を防ぐため、流出していないと公表されている範囲も明確にしておきます。

  • マネーフォワード ビジネスカードのフルカード番号、有効期限、CVV
  • 連携先金融機関(銀行・クレジットカード会社等)のログインID・パスワード
  • マネーフォワード ME / クラウド の一般利用者のメールアドレス・パスワード(公表時点)

つまり、マネーフォワード ビジネスカードを保有していない人は、個人情報の直接被害者ではありません。ただし、銀行口座連携を使っていれば②の機能停止の影響を受けます。

原因 ― なぜ起きたのか

事件の根本原因は、第一報の段階では大きく 2層 に分けて理解するのが正確です。「入口(アカウントが破られたこと)」と「被害拡大(リポジトリの中身がそもそも危険だったこと)」は別の問題で、後者の方がより本質的です。

本来あるべき姿(左)と 今回起きていた姿(右)本来あるべき姿・コードと秘密情報を物理的に分離・キーは Secret Manager / Vault / KMS・個人情報はDBのみ。ファイルで持たない・GitHub には MFA / Push Protection 必須・PATは短命・最小権限・自動失効・pre-commit でシークレット検出今回起きていた姿・コード内に認証キー / パスワードを同梱・個人情報を含むファイルがリポジトリに混入・本来の管理手順から外れた運用・GitHub アカウントの認証情報が漏えい・1つの鍵漏えいで広範囲に被害が拡大・流出後の影響半径が大きい設計
図2:あるべき姿と今回の姿の対比

原因①:GitHub 認証情報の漏えい(入口)

マネーフォワード社の発表では、「認証情報が漏えいし、不正アクセスを受けた」とされていますが、認証情報がどこから・どのように漏えいしたかという侵入経路は、本記事執筆時点(2026年5月7日)では公表されていません。

一般論として、GitHub 認証情報(個人アクセストークン PAT、SSH 秘密鍵、OAuth トークンなど)が漏えいする経路には次のようなものがあります。

  • 開発者端末のマルウェア感染(ブラウザCookie・トークン窃取)
  • フィッシング(GitHub を装った偽ログインページや OAuth 同意画面)
  • 誤って公開リポジトリ・公開Gist・SaaSログ等に貼り付けてしまう シークレットリーク
  • 長期間ローテーションされていない PAT が、過去のどこかから流出している
  • サードパーティの開発ツール・CI/CD 経由での連鎖的漏えい

侵入経路が公表されていない以上、特定の経路を断定するのは適切ではありません。ただ重要なのは、「どの経路でも、GitHub 認証情報の漏えいは現実に起こりうる」という前提で設計しているか、という点です。

原因②:リポジトリの中身に「あってはならないもの」が混入していた(被害拡大)

本事件のもっとも重要な論点はここです。マネーフォワード社が公表したとおり、対応として「ソースコードに含まれる各種認証キー・パスワードの無効化と再発行」を実施したと述べています。これは裏を返せば、リポジトリ内に認証キーやパスワードがハードコード(直接埋め込み)されていたことを示します。

さらに、流出した個人情報(370件)について同社は、「個人情報を含むファイルが本来の管理手順から外れ、誤ってGitHub上に保管されていた」と説明しています。つまり、リポジトリには本来あるべきでない 2 種類のものが存在していたことになります。

  1. 認証キー・パスワード(API キー、DB 接続情報など)
  2. 個人情報を含むファイル(ビジネスカード関連 370 件分)

GitHub 認証情報が破られた瞬間に、リポジトリのソースコードだけでなく、そこに同梱されていた「鍵」と「個人情報そのもの」も同時に持ち出されたことが、被害が大きくなった構造的な理由です。言い換えると、1つの鍵の漏えいが「広範囲」に被害を拡大できる設計になっていたことが本質的な原因です。

本来どうすべきだったか ― 取るべきだった対策

マネーフォワード社固有の問題として論じるのではなく、同種の事故をどんな企業も避けられるように、実務でとるべき対策を 3 階層に分けて整理します。

対策①:シークレット管理の徹底(コードと秘密情報を物理的に分ける)

  • API キー・パスワードはコードに書かない。AWS Secrets Manager、Google Secret Manager、HashiCorp Vault、Kubernetes Secret+KMS のいずれかで一元管理する。
  • 環境変数で渡す場合も、.env はリポジトリに入れず、.env.example のみコミット、.gitignore に必ず追加する。
  • pre-commit フックで秘密情報を機械的に検出する(gitleakstrufflehogdetect-secrets など)。コミット時点で阻止できるのが一番安い対策。
  • GitHub の Push Protection(Secret Scanning)を必ず有効化。AWS / Stripe / Google などの主要キー形式は GitHub 側でブロックできる。
  • ローテーション運用:キーは定期的に再発行し、退職・異動の都度棚卸しする。ローテーションが恐ろしくて触れない=放置されている、というのは典型的な事故予備軍。

対策②:個人情報をリポジトリに入れない運用設計

  • 個人情報はデータベースの中だけで扱う。調査用CSV・dumpファイル・テストデータをリポジトリに置かない。どうしても必要ならマスキング・匿名化したうえで別ストレージに置く。
  • 「一時的に置いただけ」「ローカルで使うつもりだった」が事故の典型パターン。リポジトリのトップに個人情報を置けない構造(CIで検知して PR をブロック)にする。
  • 本番DBへの直接アクセスは作業ログを残し、ダンプ取得には承認フローを噛ませる。

対策③:1つの鍵が漏えいしても「被害が広がらない」設計

  • 多要素認証(MFA)の必須化:GitHub Organization 全体で MFA を強制。PAT は短命(数時間〜数日)の Fine-grained PAT、またはアプリ用の GitHub Apps トークンを利用する。
  • 最小権限の原則:PAT は対象リポジトリと操作(read のみ等)を絞る。「全リポジトリ」「全権限」のトークンを CI に渡さない。
  • アクセスログの監視:GitHub の Audit Log を SIEM に流し、深夜帯の clone、不審なIP、海外からのアクセスを検知する。クローンされた時点でアラートが出る体制があれば、被害拡大を止められる。
  • SSO + IdP 経由のアクセス:個人 GitHub アカウントを直接使わず、Okta / Entra ID 等での認証を経由させる。退職時に即時遮断できる。
  • 復旧手順の事前準備:今回マネーフォワード社は連携機能を即座に停止しました。「壊れたときに止める判断」を素早くできるかが、二次被害を防ぐ最後の砦です。

成功例と失敗例(業界全般から学ぶ)

本事件と直接関係のない一般論として、シークレット管理の成功パターン・失敗パターンには共通の傾向があります。

うまく行っている組織のパターン

  • 「鍵をコードに書けない仕組み」がCIに組み込まれている。PR時点で検知され、人間の善意に依存しない。
  • 本番アクセスは 踏み台 + 短命クレデンシャル で、個人ノートPCから直接本番DBに繋がらない。
  • キーのローテーションが 自動化 されており、「触ると壊れるから放置」が起きない。
  • 事故対応のランブック(手順書)が用意されており、今回のように「機能停止 → 鍵再発行 → 順次復旧」の判断が淀みなく行える。

事故になりやすい組織のパターン

  • 「とりあえずリポジトリに置いて、後で消す」運用が常態化している。Git の履歴は消えない(force-push しても他クローンに残る)ため、「後で消す」は事実上戻せない。
  • 個人 PAT が長期間(年単位で)有効で、誰のどの PAT かを把握していない。
  • 個人情報を含む CSV を Slack / メール / リポジトリに気軽に貼る文化。
  • セキュリティを「専門部署の仕事」と捉え、開発者個人の責任にしていない。逆に、開発者だけに任せて経営層がコストを認めていないケースも同様。

マネーフォワード社の対応について

本記事は同社を批判する目的ではありません。むしろ、第一報の段階で、

  • 事実関係を判明している範囲で速やかに公表したこと
  • 銀行口座連携機能を自ら停止し、利便性より安全性を優先したこと
  • 認証キー・パスワードを網羅的に再発行したこと

は、有事におけるクライシスマネジメントとして妥当な動きです。重要なのは、ここで明らかになった「シークレット管理」と「リポジトリ運用」の論点を、自社のリポジトリで再点検することだと考えます。

まとめ ― 今日からできる3つのアクション

  1. 自社リポジトリの全履歴を gitleaks / trufflehog でスキャンし、見つかったキーは即時ローテーションする。
  2. GitHub Organization で MFA / Push Protection / Secret Scanning を必須化し、未対応のリポジトリ・ユーザーがゼロであることを確認する。
  3. 「個人情報・本番ダンプはリポジトリに置かない」を社内ルール化し、CI で検知できる仕組みにする。

本記事は、2026年5月1日のマネーフォワード社公表内容、および同日以降の各社報道(INTERNET Watch、Impress Watch、日本経済新聞 ほか)に基づいています。侵入経路や流出範囲の確定情報は、続報で更新される可能性があるため、実際の対応にあたってはマネーフォワード社の公式アナウンスを一次情報としてご確認ください。(記事公開:2026年5月7日)

Xでシェアする