銀行口座そのものへの不正アクセスが確認されたわけではない。それでも、マネーフォワードは銀行口座連携機能を一時停止した。
理由は、同社グループがソフトウェア開発やシステム管理に使っているGitHubで不正アクセスが発生し、ソースコードなどを保管する領域がコピーされたためだ。金融サービスでは、被害が確認されたかどうかだけでなく、接続先である金融機関との安全確認が終わるまで機能を止める判断も重要になる。
何が起きたのか
東証プライム上場のマネーフォワード(証券コード3994)は2026年5月1日、同社グループが利用しているGitHubの認証情報が漏えいし、第三者による不正アクセスが発生したと発表した。GitHub内のリポジトリがコピーされたことも判明している。
GitHubは、企業や開発者がソースコードを管理するためのサービスだ。リポジトリとは、プログラムや関連ファイルをまとめて置いておく保管庫のようなものを指す。今回の問題は、利用者が直接使うアプリ画面ではなく、サービスを作り、管理する側の開発基盤で起きた。
流出した可能性がある個人情報として公表されているのは、マネーフォワードケッサイが提供する「マネーフォワード ビジネスカード」に関わる370件のカード保持者名と、カード番号の下4桁だ。カード保持者名はアルファベット表記とされている。
一方で、クレジットカード番号の全桁、有効期限、セキュリティコード、顧客情報を格納する本番データベースからの情報漏えいは、現時点では確認されていない。ここは過度に広げて受け止めるべきではない点だ。
なぜ銀行口座連携まで止めたのか
今回の発表で目を引くのは、GitHubへの不正アクセスが、銀行口座連携機能の一時停止につながったことだ。
マネーフォワードは、不正アクセスの経路となった認証情報の無効化とアカウントの遮断を完了したとしている。さらに、ソースコードに含まれる各種認証キーやパスワードの無効化、再発行も概ね完了したと説明している。
それでも銀行口座連携を止めたのは、同社が銀行法に基づく電子決済等代行業者として、金融機関との接続を担っているためだ。家計簿アプリや会計SaaSの銀行連携は、利用者にとっては「明細が自動で取り込まれる便利な機能」に見える。しかし裏側では、金融機関との接続、安全確認、認証情報の管理といった仕組みが支えている。
つまり、今回の一時停止は、利用者向け機能だけでなく、金融機関との接続に関する安全確認にも関わる措置だといえる。
「漏えい」と「確認されていない情報」は分けて見る必要がある
不正アクセスのニュースでは、何が漏れたのかと同じくらい、何が確認されていないのかを分けて読む必要がある。
今回、公表されている範囲では、GitHubの認証情報が漏えいし、リポジトリがコピーされた。さらに、ビジネスカード関連の370件について、カード保持者名とカード番号下4桁が流出した可能性がある。
一方で、カード番号の全桁、有効期限、セキュリティコード、本番データベースからの情報漏えいは確認されていない。これは、利用者の不安を小さく見せるための補足ではなく、事実関係を正確に理解するための重要な線引きだ。
ただし、「本番データベースの漏えいは確認されていない」ことと、「問題が軽い」ことは同じではない。金融サービスを支える開発基盤で不正アクセスが起き、確認のために銀行連携を止めたという点は、利用者にとっても企業を見るうえでも無視しにくい論点となる。
GitHubの認証情報とは何か
今回のキーワードは「認証情報」だ。
認証情報とは、ID、パスワード、アクセストークン、APIキーのような、システムに入るための鍵にあたる情報を指す。これが漏れると、第三者が正規の利用者になりすましてシステムへアクセスできる可能性がある。
たとえば、自宅の鍵そのものを盗まれた場合、玄関のドアが壊されていなくても家に入られる危険がある。ITシステムでも似たことが起きる。システム本体が直接破られたのではなくても、入るための鍵が漏れれば、不正アクセスの入口になり得る。
今回の発表では、GitHub内のリポジトリがコピーされたとされる。リポジトリにはソースコードや関連ファイルが含まれるため、そこに認証キーやパスワードなどが残っていた場合、さらなる被害につながるおそれがある。そのため、マネーフォワードは各種認証キーやパスワードの無効化と再発行を進めたとしている。
利用者は何を確認すればよいのか
個人の利用者にとってまず大事なのは、公式発表と公式サポートの案内を確認することだ。銀行口座連携が止まっている場合でも、現時点の説明では、安全確認のための一時停止とされている。
「口座残高や取引履歴が流出した」と断定できる発表は出ていない。一方で、今後新しい事実が見つかった場合や、サービス稼働への影響が出る場合には、同社が開示するとしている。利用者は、アプリ内のお知らせや公式サポートサイトで再開予定や対象サービスを確認するのが現実的だ。
ビジネスカードに関わる対象者には、個別にメールなどで連絡するとされている。ただし、こうした局面では便乗した不審メールにも注意が必要になる。メール内のリンクから個人情報を入力させるような案内には慎重になり、必要があれば公式サイトから直接確認するほうが安全だ。
便利な連携ほど、見えない安全性に支えられている
マネーフォワードのような家計簿アプリや会計SaaSは、銀行口座やカード、会計データを自動で取り込めることが大きな価値になっている。利用者から見れば、面倒な入力が減り、家計や経理の状況をすぐ確認できる便利な仕組みだ。
しかし、その便利さは、金融機関との接続、認証情報の管理、開発基盤の安全性といった、普段は見えにくい部分に支えられている。今回の不正アクセスは、その見えない部分に問題が起きると、利用者が直接触る機能にも影響が及ぶことを示した。
現時点で確認されている情報だけを見れば、被害の範囲を必要以上に広げて語るべきではない。ただ、金融サービスにおける安全性は、表に見えるアプリ画面だけで測れるものでもない。
銀行連携の一時停止は、利用者にとって不便な措置だ。それでも今回のような場面では、企業がどの情報を開示し、どの機能を止め、どのように再開まで説明するかも見る材料になる。便利な金融サービスを使ううえでは、機能の多さだけでなく、問題が起きたときの説明の透明性にも目を向けたい。
(本稿は各種公開情報をもとに作成した。一部数値は記事掲載時点の情報である)
