本記事はMoneyforward社の公式発表と、ITmediaによる報道内容を整理し両者を突き合せた際に生じる技術的・論理的な論点を整理するものである。

公開されている事実

公式リリースの記載 (抜粋)

第一報より

【流出した可能性のある個人情報】

  • マネーフォワードケッサイ株式会社が提供する『マネーフォワード ビジネスカード』に関わる370件の「カード保持者名(アルファベット)」および「カード番号の下4桁」 現時点ではクレジットカード番号の全桁、有効期限、およびセキュリティコード(CVV)の流出は確認されておりません。該当するお客さまには、メール等で個別にご連絡をさせていただきます。

事象の発覚後、速やかに追加被害を防ぐため、以下の措置を行っております。

  • 不正アクセスの経路となった認証情報の無効化およびアカウントの遮断(完了)
  • ソースコードに含まれる各種認証キー・パスワードの無効化と再発行の実施(概ね完了)

当社グループのサービスをご利用中の皆さま、ならびに関係者の皆さまに多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。

上記のとおり、当社ではサービスの安全運営に支障はないと考えております。 一方で、銀行法に基づく電子決済等代行業者としての責任を鑑み、また各提携金融機関との安全性の確認を万全なものとするため、以下の対応を実施しております。

【重要】『GitHub』への不正アクセス発生および銀行口座連携機能の一時停止に関するお知らせ(2026年5月3日 13時00分 更新)

Q.漏えいしたソースコードに含まれる各種認証キー・パスワードによって連携している金融機関への不正ログインの恐れはないのか。

A.漏えいしたソースコード及び今回の事象に伴う漏洩対象には、金融機関等連携先のログインに必要な情報は含まれておりませんため、本件に起因する金融機関等への不正ログインの恐れはございません。 金融機関等連携先のログインに必要な情報は、以下にご案内の通り、ソースコードの一部ではなく本番環境のデータベースに暗号化して保存し、アクセスについては制限を設け、厳重な管理・運用を行なっております。

ITmediaの報道内容(抜粋)

マネーフォワード、GitHubからソースコードと一部ユーザー情報流出か 銀行連携を一時停止

同社は、不正アクセスの経路となった認証情報を無効化し、アカウントを遮断済み。ソースコードに含まれる各種認証キーやパスワードの無効化と再発行もおおむね完了した。

両者を並べたときに生じる論点

graph TD A[GitHubへの不正アクセス] --> B[ソースコードの流出] B --> C{ソースコード内の認証情報} C --> D[無効化・再発行の実施] D --> E[「おおむね完了」] E --> F[全件の棚卸が未了の懸念] C --> G[銀行連携用クレデンシャル?] G --> H[「不正ログインの恐れはない」] H --> I[利用者による保守的判断]
  • ソースコード中に、「無効化・再発行が必要な認証情報」があったと推認できる。
  • 「不正ログインの恐れはない」と断定されている。
  • また、「おおむね完了」とは 全件棚卸完了していない可能性 がある。

NISTに照らした合理的な行動

  • スクレイピングや銀行APIなどによる情報取得で用いられるクレデンシャルが全く流失していない保証はないと推認できる。

  • 利用者がとりえる最も保守的な判断は「 すべて漏洩したと仮定して認証情報を更新すること 」。

  • パスワード変更のコストは限定的であり、金銭被害と比較すると十分に小さい。

結論

本記事では、公式発表と報道内容を整理した。これらを踏まえ、

  • 認証情報の範囲
  • 「おおむね完了」の意味
  • 不正アクセスが否定できるかどうかは利用者がどのように判断すべきかを考える必要があるだろう。