トップ/記事一覧/マネーフォワード6.3万人分の情報流出、原因はGitHubに置いた個人情報
moneyforward-security-incidents-cover-ja

マネーフォワード6.3万人分の情報流出、原因はGitHubに置いた個人情報

家計簿・会計ソフトで知られるマネーフォワードで、最大6万2901人分の個人情報が流出した可能性があります。原因はソフトの欠陥ではなく、開発で使うGitHubに認証情報の漏洩で侵入され、個人情報を含むファイルが誤って置かれていたこと。本番DBは無事でした。何が漏れ、なぜ起き、私たちは何を学べるかを、続報も追って整理します。

ニュース 本日更新
avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go

2026.06.249 min6 views
Share X B! Hatena LINE in LinkedIn RSS
この記事のポイント

家計簿・会計ソフトで知られるマネーフォワードで、最大6万2901人分の個人情報が流出した可能性があります。原因はソフトの欠陥ではなく、開発で使うGitHubに認証情報の漏洩で侵入され、個人情報を含むファイルが誤って置かれていたこと。本番DBは無事でした。何が漏れ、なぜ起き、私たちは何を学べるかを、続報も追って整理します。

家計簿アプリ「マネーフォワード ME」や会計ソフト「マネーフォワード クラウド」で知られるマネーフォワードが、最大6万2901人分の個人情報が流出した可能性があると2026年6月23日に発表しました。5月1日に公表したソースコード管理サービス「GitHub(ギットハブ)」への不正アクセスについて、調査が完了し、流出の規模が確定したものです。

ただし、この一件でいちばん大事なのは数字よりも「どこが破られ、どこは守られたか」です。攻撃者が入ったのは、利用者の家計簿や会計データが入っている本番のシステムではありません。開発で使うソースコードの保管場所(GitHubのリポジトリ)でした。本番のデータベースへの侵入はなく、お金が動いたり家計簿が覗かれたりといった二次被害も確認されていません。それでも個人情報が漏れたのは、本来そこに置いてはいけない個人情報が、手違いでソースコードと一緒に置かれていたからです。

「玄関と金庫はしっかり守っていたのに、裏口の物置に大事な書類のコピーを置きっぱなしにしていた」。今回の構造を一言でいえばそうなります。本記事では、何がどれだけ漏れたのか、そしてどんな穴を突かれたのかを一次情報で整理し、同じ失敗を避けるために開発の現場が何をすべきかまで掘り下げます。マネーフォワードに関する今後の続報も、この記事に追記して追いかけます。

何が、どれだけ流出した可能性があるのか

6月23日の調査完了で確定した「流出した可能性のある個人データ」は、合計6万2901人分です。多くを占めるのは、利用者を社内で区別するための管理番号で、ログインに使うIDやパスワードとは別物です。内訳は次の通りです。

対象人数含まれていた情報
顧客(管理番号)6万449人利用者を区別する最大19桁の管理番号
(ログインIDとは別)
従業員
(退職者を含む)		2300人固有識別子373・氏名490・
メール1807・電話305
顧客(氏名等)124人氏名100・メールアドレス24
取引先28人氏名5・メールアドレス23
ビジネスカード370件カード保持者名(アルファベット)・
カード番号の下4桁

数のうえでは管理番号(6万449人分)が大半ですが、これはそれ単体では個人を特定できない社内用の番号とされています。一方で、従業員2300人分には氏名・メール・電話まで含まれ、こちらのほうが内容としては重い情報です。ビジネスカードについては、カード番号の全桁・有効期限・セキュリティコードは含まれておらず、保持者名(アルファベット)と下4桁にとどまります。つまり「カードがすぐ不正利用される」たぐいの漏れ方ではありません。

突かれたのは「ソフトの欠陥」ではなく「開発のプロセス」だった

気になるのは「どんな脆弱性を突かれたのか」です。結論から言うと、今回は世間でよく聞くソフトウェアの欠陥(CVE番号が付くような穴)ではありません。突かれたのは、人とプロセスの隙でした。順に見ていきます。

① 入口:GitHubの認証情報が漏れた

発端は、マネーフォワードがソフト開発で使っていたGitHubの認証情報(ログインのための鍵)が漏れたことです。第三者がこの鍵を悪用してリポジトリ(ソースコードの保管場所)に入り込み、中身をコピーしました。GitHubは世界中の開発者が使うソースコード管理サービスで、ここに会社のコードの正本が集まります。その鍵が外に出れば、コードごと持ち去られます。

② 被害を広げた原因:個人情報がソースコードに紛れ込んでいた

鍵が漏れてコードがコピーされただけなら、被害は「ソースコードの流出」で済んだはずでした。ところが、本来は置いてはいけない個人情報を含むファイルが、正規の管理手順から外れて誤ってGitHub上に保管されていたのです。マネーフォワード自身も、なぜGitHubに個人情報が含まれていたのかを5月の段階で説明しています。つまり「ソースコードの流出」が「個人情報の流出」に化けたのは、この混入があったからです。

③ 防げたはずの一線:無料の検知機能が使われていなかった

セキュリティに詳しいエンジニアからは、GitHubが無料で提供する「Secret Scanning(シークレット・スキャニング)」——鍵やパスワードがうっかりコードに混じっていないかを自動で見張る機能——が有効化されていなかった、という指摘が出ています。テストに使うデータは必ず匿名化・マスキングする、機微なファイルは .gitignore で最初から対象外にする、といった基本も徹底されていれば、混入そのものを防げた可能性があります。派手なゼロデイ攻撃ではなく、地味だが最も多い「秘密情報とPIIをうっかりソースに置く」事故——それが今回の正体です。

同じ構図は、当サイトでも繰り返し見てきました。阿波銀行が放置されたテスト環境から2万7千件を漏らした件は、まさに「開発・テスト側に置いた顧客データが守りの外にあった」例です。認証サーバーから秘密鍵が露出したCloud Foundryの件や、Claude Codeのソースコード51万行が流出した件とも、「コードや鍵の管理がそのまま被害の大きさを決める」という点で地続きです。

なぜ「本番は無事」なのに情報が流出したのか

ここからは事実をふまえた筆者の見方です。今回いちばん示唆的なのは、守りの重心が本番環境に寄っていて、開発環境が手薄だったという構造です。

多くの会社は、利用者のデータが入っている本番システムをいちばん厳重に守ります。ファイアウォール、多要素認証、監視——お金や個人情報に直結するからです。マネーフォワードもそこは守り切り、本番データベースへの侵入は起きませんでした。ところが、攻撃者が選んだのは正面の金庫ではなく、開発という"裏側"でした。ソースコードの保管場所は、本番ほど厳重に見張られていないことが多く、そこに個人情報が紛れていれば、本番を一切触らずに情報を持ち去れてしまいます。

設備工事の世界に「天井裏の配管」という言葉があります。普段は誰も見ない、表からは見えない部分です。見えないからこそ手を抜くと、10年後に水漏れの原因になる。ソフト開発のソースコード管理は、まさにこの天井裏です。本番という"表"を磨くだけでなく、開発という"裏"に何が通っているかを把握できているか——今回の件は、その一点を多くの企業に突きつけています。家計簿から企業会計までを一手に預かるマネーフォワードのような会社であればなおさら、裏側の整備は本番と同じ重さで問われます。

これまでの経緯(時系列)

5月1日の第一報から、6月23日の規模確定までの流れを整理します。カードは左右に切り替えられます。

← スワイプで移動

いま分かっていること・まだ分からないこと

✓ 確認済みの事実

  • 流出した可能性のある個人データは計6万2901人分。発端はGitHub認証情報の漏洩(ITmedia / 公式第一報
  • 本番データベースへの侵入はなく、情報の不正利用による二次被害も確認されていない。漏れたのは開発用GitHubリポジトリ内のファイルに限る
  • 個人情報を含むファイルが、本来の管理手順を外れて誤ってGitHub上に保管されていたことが被害拡大の原因(ITmedia 5/11
  • 対象サービスはマネーフォワード クラウド・ビジネスカード・ME。銀行口座連携は一時停止後に順次再開

? まだ分からないこと・公表されていないこと

  • ?GitHubの認証情報がどのように漏れたのか(端末感染・フィッシング等)の詳しい経路
  • ?攻撃者の正体や、コピーされたソースコード・データがその後どう扱われたか
  • ?「Secret Scanning未有効化」などの具体的な設定不備は外部エンジニアの指摘であり、同社が公式に認めた範囲とは区別して読む必要がある

マネーフォワードの利用者が、いまやるべきこと

まず落ち着いて受け止めて大丈夫です。本番データベースは侵害されておらず、家計簿データや銀行口座、ログイン用のパスワードが盗まれたという発表ではありません。とはいえ、念のための備えはしておく価値があります。

念のための備え

  • パスワードの使い回しをやめる:今回パスワードは対象外だが、他サービスと同じパスワードを使っているなら、これを機に個別化しておく
  • 二段階認証を有効化:マネーフォワード MEもクラウドも設定可能。万一に備えて入れておく
  • 便乗のフィッシングに注意:「情報流出のお詫び」を装ったメールやSMSが出回る恐れ。リンクは踏まず、必ず公式のお知らせから確認する
  • ビジネスカード利用者:下4桁と名義のみで全桁・有効期限は対象外だが、利用明細の不審な動きは引き続き確認する

開発の現場が学べること——同じ穴を塞ぐ実践

今回の本質は「秘密情報やPII(個人を特定できる情報)が、うっかりソースコード管理に紛れ込む」事故です。これは特定の1社の話ではなく、ソフトを作るあらゆる組織で起こり得ます。再発を防ぐために効く対策を、優先度の高い順に挙げます。

いますぐ点検したい開発側の備え

  • 1.Secret Scanning と Push Protection を有効化:GitHubが提供する、鍵やトークンの混入を検知・コミット前にブロックする機能。混入を「起きてから探す」のではなく「入る前に止める」
  • 2.テストデータは必ず匿名化・マスキング:本番の個人情報をそのまま開発・テストに持ち込まない。ダミーデータか、加工済みのデータを使う
  • 3.認証情報は最小権限・短命に:アクセストークンは必要な範囲だけに絞り、有効期限を短くする。漏れても被害を時間と範囲で限定できる
  • 4.機微なファイルは .gitignore で最初から除外:設定ファイルやデータファイルを「そもそもコミットできない」状態にしておく
  • 5.開発環境も監視と通信統制の対象に:本番だけでなく、認可外の外部サイト・クラウドへの送信を遮断し、開発環境の異常も検知する(マネーフォワードが導入した再発防止策と同じ方向)

依存パッケージやソースコード管理まわりのリスクを継続的に洗い出す仕組みを持っておくと、こうした「開発の裏側」の穴に素早く気づけます。当サイトでもOSSのサプライチェーンを点検する仕組みを整理しています。GitHub経由の侵害という意味では、外部委託先から侵入されたCrunchyrollの680万人流出や、プロバイダ各社へ波及したKDDIのメール最大1422万件漏えいとも、「自社の本丸の外側にある弱点が突かれる」という共通点があります。

よくある質問

家計簿や口座のデータ、パスワードは盗まれたのですか

その発表ではありません。本番データベースへの侵入はなく、家計簿データや銀行口座情報、ログイン用パスワードが流出したとはされていません。流出の可能性があるのは、開発用のGitHubリポジトリに含まれていたファイル内の情報(管理番号、一部の氏名・メール・電話、ビジネスカードの名義と下4桁など)に限られます。

「管理番号」が漏れると何が困るのですか

管理番号は、マネーフォワードが社内で利用者を区別するための最大19桁の数字で、ログインに使うユーザーIDとは別物です。同社はこれ単体では個人を特定できないと説明しています。ただし他の情報と組み合わされるリスクはゼロではないため、便乗フィッシングへの注意は続けるのが無難です。

どんな脆弱性を突かれたのですか

ソフトウェアの欠陥(CVE)ではありません。GitHubの認証情報が漏れて第三者にリポジトリへ侵入され、そこに本来あってはいけない個人情報を含むファイルが誤って置かれていた、という「認証情報の漏洩+個人情報の混入」という運用・プロセス上の穴が原因です。GitHubの無料の検知機能(Secret Scanning)が有効でなかったという外部からの指摘もあります。

マネーフォワードは今後も使って大丈夫ですか

利用の可否は各自の判断ですが、同社は原因を公表したうえで、業務端末の統制強化、認可外クラウドへの通信遮断、開発環境のリアルタイム監視といった再発防止策を導入したとしています。本記事では今後の続報も追記して追いかけます。

マネーフォワード インシデント年表

本記事は、マネーフォワードに関するセキュリティ・サービス関連のインシデントを継続して追う記事です。新たな動きがあれば、ここに追記していきます。

時期出来事規模・状況
2026年5月GitHubへの不正アクセスを公表第一報。ビジネスカード370件・
ソースコード流出の可能性
2026年6月調査完了・規模確定計6万2901人分の
個人データ流出の可能性

参照元

更新履歴

  • 2026年6月24日: 初版公開(6月23日のマネーフォワード調査完了・規模確定を受けて作成)