2026年5月1日、マネーフォワードは、ソフトウェア開発とシステム管理に利用しているGitHubの認証情報が漏えいし、第三者による不正アクセスが発生したと公表した。リポジトリがコピーされ、ソースコードと、リポジトリ内ファイルに含まれていた一部個人情報が流出した可能性がある、という内容だった。
この記事では、2026年5月7日18:30時点で確認できるマネーフォワードの公式発表とサポート情報を中心に、何が起きたのか、どこまで確認されているのか、なぜ銀行連携停止が大きな影響になっているのかを整理する。
要点
- 起点は、マネーフォワードグループが利用していたGitHubの認証情報漏えいと、それを使った第三者の不正アクセス。
- コピーされたリポジトリにより、ソースコードと一部個人情報が流出した可能性がある。
- 流出した可能性がある個人情報として公表されているのは、「マネーフォワード ビジネスカード」370件のカード保持者名とカード番号下4桁。
- 公式発表では、本番データベースからの情報漏えい、金融機関等連携先のログインに必要な情報の漏えい、カード番号全桁・有効期限・CVVの流出は確認されていない。
- ただし、安全性確認のため銀行口座連携機能が一時停止され、2026年5月7日18:30時点でも「すべての銀行連携を一時停止」と案内されている。
時系列
| 日時 | 出来事 |
|---|---|
| 2026年5月1日 | マネーフォワードが第一報を公表。GitHubの認証情報が漏えいし、第三者が不正アクセスしたこと、GitHub内のリポジトリがコピーされたことを明らかにした。 |
| 2026年5月1日 | ソースコードと、リポジトリ内ファイルに記載されていた一部個人情報が流出した可能性があると説明。対象として、「マネーフォワード ビジネスカード」370件のカード保持者名(アルファベット)とカード番号下4桁を公表した。 |
| 2026年5月1日 | 追加被害防止策として、不正アクセス経路となった認証情報の無効化、アカウント遮断、ソースコードに含まれる各種認証キー・パスワードの無効化と再発行を進めたと説明した。 |
| 2026年5月1日 | 銀行法に基づく電子決済等代行業者としての責任や、提携金融機関との安全性確認のため、銀行口座連携機能を一時停止すると案内した。 |
| 2026年5月3日 13:00 | マネーフォワード MEサポートサイトで、重要なお知らせとQ&Aを公開。GitHubに個人情報を含むファイルがあった理由、漏えい対象、金融機関ログイン情報の扱いなどを説明した。 |
| 2026年5月7日 11:00 | Q&Aを更新。金融機関等連携先のログインに必要な情報は漏えい対象に含まれず、現時点で金融機関等のログイン情報を変更する必要はないと案内した。銀行連携の再開時期については、安全確認が完了次第とした。 |
| 2026年5月7日 18:30 | 口座連携の状況一覧で、「すべての銀行連携を一時停止」と案内。三井住友カード、セゾンカード、三菱UFJモルガン・スタンレー証券、セゾン投信など、銀行以外の金融関連サービスも一部「システム対応中」として掲載されている。 |
何が流出した可能性があるのか
マネーフォワードの第一報では、流出した可能性があるものとして、ソースコードと、リポジトリ内ファイルに記載されていた一部個人情報が挙げられている。
個人情報として具体的に公表されているのは、グループ会社のマネーフォワードケッサイが提供する「マネーフォワード ビジネスカード」に関わる370件の情報だ。項目は次の2つに限定されている。
- カード保持者名(アルファベット)
- カード番号の下4桁
一方で、同社は、クレジットカード番号の全桁、有効期限、セキュリティコード(CVV)の流出は確認されていないとしている。また、本番データベースからの情報漏えいも確認されていないと説明している。
何は確認されていないのか
2026年5月7日11:00更新のQ&Aでは、次のような情報について、現時点では漏えいが確認されていないと説明されている。
- 流出したソースコードや個人情報の不正利用による被害
- 金融機関等連携先のログインに必要な情報
- 第一報で公表された370件以外のクレジットカード情報
- 本番データベースに格納された顧客情報
- 「マネーフォワード ME」で参照可能な家計・資産情報
また、漏えいしたソースコードについて、今回の事象に起因する改ざんの恐れはないとも説明されている。
ただし、これは「現時点で確認されていない」という意味であり、調査が完了してすべての可能性が否定されたという表現ではない。マネーフォワードも、開示すべき新しい事実が見つかった場合や、各サービス稼働への影響が発生する場合は、速やかに開示するとしている。
なぜGitHubに個人情報があったのか
今回の事案で特に気になる点は、ソースコード管理サービスであるGitHub上に、なぜ個人情報を含むファイルが存在していたのかという点だ。
マネーフォワードのQ&Aによると、通常、GitHub上に保存するソースコードに個人情報の入力はない。しかし、個人情報の取り扱いを伴うサービス更新作業の過程で、個人情報が含まれたファイルが本来の管理手順から外れ、誤ってGitHub上に保管されていたことが原因だと説明されている。
この説明から見ると、問題は単にGitHub認証情報が漏れたことだけではない。開発・運用作業の途中で、個人情報を含むファイルが本来置かれるべきでない場所に置かれてしまったことも、再発防止上の重要な論点になる。
銀行連携停止が大きな影響になっている理由
マネーフォワードは、サービスの安全運営に支障はないと考えている一方で、銀行法に基づく電子決済等代行業者としての責任や、各提携金融機関との安全性確認を万全にする必要から、銀行口座連携機能を一時停止していると説明している。
2026年5月7日18:30時点のサポートページでは、「すべての銀行連携を一時停止」と案内されている。さらに、銀行以外にも、クレジットカード、証券、投信、決済系サービスなどの一部が「システム対応中」として並んでいる。
家計簿アプリや会計サービスでは、銀行・カード・証券口座の自動取得が日常的な利用価値の中心になる。そのため、漏えいが確認された個人情報の件数だけを見ると限定的に見えても、連携停止による実務上の影響は広い。
利用者が確認しておきたいこと
マネーフォワードのQ&Aでは、今回の事象に伴う漏えい対象に金融機関等連携先のログインに必要な情報は含まれていないため、現時点で金融機関等のログイン情報を変更する必要はないと案内されている。
一方で、利用者側では、次のような基本的な確認をしておくとよい。
- マネーフォワード公式サイト、サポートサイト、利用中の金融機関の公式案内を確認する。
- 不審なメール、SMS、電話、ログイン誘導リンクに反応しない。
- パスワードを使い回しているサービスがあれば、今回の件に限らず個別の強いパスワードに変更する。
- 口座やカードの利用履歴は、ブックマークや公式アプリなど信頼できる経路から直接確認する。
- 対象者として個別連絡が来た場合も、メール内リンクだけで判断せず、公式サイト側の案内と照合する。
今回のようなインシデント後は、便乗したフィッシングやサポート詐欺も起きやすい。公式に「ログイン情報の変更は不要」と案内されている場合でも、不審な連絡に対する警戒は別の問題として続ける必要がある。
何が問題の本質か
今回の事案は、現時点の公表内容だけで見ると、「本番データベースや金融機関ログイン情報が漏えいした」と確認された事案ではない。確認されている中心は、GitHub認証情報の漏えい、不正アクセス、リポジトリのコピー、そして一部個人情報の流出可能性だ。
それでも大きな問題になっているのは、次の3点が重なっているためだ。
- 開発基盤であるGitHubへの不正アクセスが発生したこと。
- 本来GitHub上に置かれるべきでない個人情報ファイルが存在していたこと。
- 金融連携サービスとして重要な銀行口座連携が広範囲に止まっていること。
金融データを扱うサービスでは、「実際に何件漏れたか」だけでなく、「どの管理プロセスが破られたのか」「影響範囲をどれだけ早く説明できるのか」「利用者の日常業務をどれだけ止めるのか」も信頼を左右する。今後は、原因調査、再発防止策、連携再開までの説明が継続的に確認すべきポイントになる。