マネーフォワードは 2026 年 7 月、同社が利用する GitHub リポジトリへの不正アクセスが判明したと公表した。何らかの経路で流出した認証情報を悪用した第三者がリポジトリをコピーし、ソースコード内に残存していた個人情報が外部に持ち出された形だ。
何が起きたか #
攻撃の流れはシンプルかつ典型的だ。GitHub の認証情報が第三者に漏えいし、攻撃者はそれを使って対象リポジトリに不正ログイン、まるごとクローンした。コードに紛れ込んでいた個人情報が結果として流出した。
今回確認された流出情報は次のとおり。
| 対象 | 件数 | 流出した情報 |
|---|---|---|
| 従業員 | 2,300 名 | 識別子・氏名・メールアドレス・電話番号 |
| 顧客管理番号 | 60,449 名 | システム識別子 |
| 顧客 | 124 名 | 氏名・メールアドレス |
| 取引先 | 28 名 | 氏名・メールアドレス |
攻撃者がリポジトリを取得するだけで、ここまでの情報を得られた点が問題の核心だ。「不正アクセス」ではあるが、実被害はコードに個人情報が埋め込まれていたことが招いた。
リポジトリが「宝の山」になる理由 #
攻撃者の観点では、GitHub リポジトリは侵害後の最高の戦利品の一つだ。DB 接続文字列、API キー、クラウド認証情報、そして顧客 ID などが「うっかりコミット」されている事例は今も絶えない。GitHub には平文シークレットを検出する Secret scanning 機能があるが、プライベートリポジトリで有効化されていないケースも多く、一度認証情報を得た攻撃者にとっては意味をなさない。
「コードに個人情報を書かない」は鉄則として知られていても、テスト用データ・移行スクリプト・デバッグログなどのかたちで PII が紛れ込む現場は珍しくない。開発スピードを優先する組織ほどこのリスクが高まる。
侵入前に止める技術的対策 #
同社はインシデント後に認証情報保護の強化・開発環境での個人情報管理体制の整備・24 時間監視体制の構築を実施したと発表している。しかし本質は 「流出する前」 の予防だ。
git-secrets や truffleHog でコミット前に静的スキャンを走らせる。.env ファイルを .gitignore に入れ、環境変数で秘密情報を管理する。GitHub Advanced Security の Secret scanning をプライベートリポジトリにも有効化する。PAT(個人アクセストークン)はスコープ最小化・有効期限の設定を徹底する。
認証情報がひとつ漏れたとき、そのリポジトリに次の「爆弾」が埋まっているかどうか——それが被害規模を左右する。マネーフォワードの事例は、SaaS・フィンテック問わず開発組織に共通する教訓だ。
COMMENTS 0
No comments yet — be the first to leave one.