マネーフォワード、GitHubに不正アクセス　銀行口座連携を一時停止

マネーフォワードは1日、ソフトウェア開発やシステム管理に利用している「GitHub」の認証情報が漏えいしたことによる不正なアクセスが発生し、一部個人情報が流出したと発表した。「サービスの安全運営に影響はない」としながら、安全確認のためマネーフォワードの各サービスで銀行口座連携機能を一時停止している。

不正アクセスは、GitHubの認証情報漏えいによるもので、GitHub内の「リポジトリ」(保管庫)がコピーされた。その結果、ソースコードとファイル内に記載されていた個人情報の一部が流出した可能性があるという。

流出した可能性のある個人情報は、マネーフォワードケッサイ株式会社が提供する「マネーフォワード ビジネスカード」に関わる370件の「カード保持者名(アルファベット)」と「カード番号の下4桁」。現時点ではクレジットカード番号の全桁、有効期限、およびセキュリティコード(CVV)の流出は確認されておらず、対象者にはメール等で個別に連絡する。

また、追加被害を防ぐため、不正アクセスの経路となった認証情報の無効化およびアカウントの遮断を完了。ソースコードに含まれる各種認証キー・パスワードの無効化と再発行も実施済みとしている。

同社では、「サービスの安全運営に支障はないと考えている」としながらも、一時的に「銀行口座連携」機能を停止。マネーフォワード クラウドやマネーフォワード MEなどのサービスにおいても銀行連携を停止している(5月1日21時30分時点)。

対策としては、認証情報の再発行(洗い替え)を概ね完了。すべての確認作業が完了次第、サービスを順次再開するとしている。