マネーフォワード、GitHub不正アクセスの影響調査を完了

マネーフォワードは23日、5月に発生した不正アクセスによる影響範囲の報告とともに再発防止策を発表した。流出した情報は、利用者の氏名もしくはメールアドレス124名分と取引先の情報28名分などとしている。

この問題は、5月1日に開発プラットフォームの「GitHub」への不正アクセスを受けたことで、GitHub上のリポジトリに誤ってアップロードされていた個人情報が流出したというもの。マネーフォワードでは、この問題により、5月12日まで銀行口座連携を停止するなどの対応を行なった。

今回、GitHub上のリポジトリに含まれる個人情報の範囲についての精査を完了。流出した顧客データは、氏名またはメールアドレス 124名分(氏名100件、メールアドレス24件)で、取引先に関する情報は28名分(氏名5件、メールアドレス23件)、従業員(退職者含む)に関する情報2,300名分(システム上の固有識別子373件、氏名490件、メールアドレス1,807件、電話番号305件)。また、単体で個人を特定できない固有識別子は60,449名分となっている。

なお、本件の対象で、マネーフォワードで連絡先を把握している個人・事業者には個別に案内を実施済み。また、本件における個人情報の流出は、GitHub上のリポジトリに含まれていたものに限定されていることを改めて確認したとしている。

再発防止策としては、発端となった認証情報の漏えいへの対策として、業務端末におけるセキュリティ統制をさらに強化。あわせて、安全な通信統制基盤の導入により、認可外の外部サイトやクラウドサービスへのアクセスをシステム的に遮断する仕組みを構築した。

また、開発環境における個人情報の取り扱いに関する社内体制を整備するとともに、従業員教育の徹底により混入そのものの防止を図る。技術的な検知手段についても継続的に検討・強化していくほか、本番環境における24時間監視だけでなく、開発環境においても異常な挙動を即座に検知するリアルタイム監視体制を構築・強化し、その恒久化を行なった。

現時点では、流出した可能性のある個人情報の不正利用等の二次被害は確認されていない。また、6月23日付けで個人情報保護委員会と事業所管大臣(金融庁等)への個人データの漏えい等に関する確定報告を提出した。