5月1日 マネーフォワードが利用していますGitHubの認証情報が漏えいし、GitHubのリポジトリからソースコードや一部の個人情報が流出したことが告知されました。
マネーフォワード GitHubの不正アクセス発生
第一報は以下のページでリリースされています。
ソースコードの流出も一大事ですが、GitHubリポジトリからの流出でなぜ個人情報が洩れているのかというのが不可思議でしたが、以下の追加情報によりますと、一部の個人情報を本来置いてはいけない場所に置いてしまっていたみたいですね。
【重要】『GitHub』への不正アクセス発生および銀行口座連携機能の一時停止に関するお知らせ(2026年5月3日 13時00分 更新) – マネーフォワード MEサポートサイト
個人情報の取り扱いを伴うサービスの更新作業を行う過程で、個人情報が含まれたファイルが本来の管理手順から外れ誤ってGitHub上に保管されていた
マネーフォワードさん、2重の意味でやっちまいましたね。
まあ一番の機密情報である顧客の金融機関の認証情報は暗号化してデータベースに格納されており、漏れていないようですので最悪の事態は免れたようですが。
でもデータベース情報とソース情報が併せて流出していれば暗号化さえ解除される可能性も考えられますので、かなりきわどかったですね。
個人的にもこのマネーフォワードにはお世話になっており、今や資産管理の要になっています。今回の件についてはリリース情報を確認したうえで、今のところすぐに利用を中止する必要は無いと判断しました。
最悪データベースの情報まで流出したとしても、資産の売買や出金をするための認証情報はマネーフォワードにはほとんど預けていないはずですので、大きな金銭的被害は無さそうですしね。
でもまあ金融関係という非常に機微な個人情報を扱っている割には脇が甘かったですね、マネーフォワードさん。
3日たっても銀行連携復旧せず
本件の影響で、マネーフォワードは現状 銀行口座連携の機能を全面的に停止しています。証券会社などとの連携は停止していませんので、流出したソースが銀行口座関連だったということなのでしょうかね。
情報がリリースされてからすでに3日が経ちましたが、連携はまだ復旧していません。事が事だけに慎重を期しているのはわかりますが、それにしても長すぎます。
サービスの中には有料のものもありますので、あまりに停止が長引きますと返金騒ぎにもなりかねません。私もマネーフォワード自体は新電力 シン・エナジー付帯のサービスで利用していますので課金はしていませんが、同じ連携データを共有していますMFクラウド確定申告は有償契約ですので、間接的に被害を受けています。
ゴールデンウィークの最中であることも不運でしたが、マネーフォワードが動かないと正確な資産の集計もできませんので、何とか早く復旧してほしいものです。