マネーフォワードの銀行連携、再開率99%超でも完全復旧に至らないワケ

マネーフォワードが5月に発生したGitHubへの不正アクセスによる連携停止から約1カ月、再開率は99%超に達したが、完全復旧には至っていない。その理由は電子決済等代行業者としての規制にあった。

日本ニュース 2026/06/16 15:50

マネーフォワードの銀行連携、再開率99%超でも完全復旧に至らないワケ — マネーフォワード銀行連携、再開率99%超でも完全復旧に至らず

マネーフォワードの銀行連携、再開率99%超でも完全復旧に至らない理由

マネーフォワードは5月1日、ソフトウェア開発などに使うソースコード管理サービス「GitHub」への不正アクセスを公表し、同日、家計簿アプリ「マネーフォワード ME」やクラウドサービスの銀行口座連携機能を停止した。流出した可能性があるのはソースコードと一部の個人情報で、本番データベースへの侵害や利用者の資産への被害は確認されていない。

連携は12日から順次再開し、同社によると29日時点の再開率は99%を超えた。それでも、事後から約1カ月たった今も完全復旧には至っていない。技術的な対策は完了したと同社は説明するが、復旧の最後の一歩が長引く理由は、マネーフォワードが銀行法上の「電子決済等代行業者」として連携機能を提供している点にある。

起点はGitHubの認証情報本番DBへの侵害はなし

まずはマネーフォワードに何が起きたのか、事態の全体像を整理しておこう。

—

流出したのはGitHubの認証情報で、これを使った第三者が不正にアクセスし、ソースコードなどを管理する「リポジトリ」がコピーされた。リポジトリ内のファイルに含まれていた個人情報の一部も、流出した可能性がある。

対象は、グループ会社のマネーフォワードケッサイが手がける「マネーフォワードビジネスカード」に関する情報370件分で、内容は「カード保有者名」と「カード番号の下4桁」だ。番号の全桁や有効期限、セキュリティコードの流出は確認されていない。

その後の詳細な調査でも、本番データベースからの情報漏えいや、データベースへの侵害・改ざんは確認されなかった。利用者にパスワード変更などを求める必要はないという。一方、流出した個人情報の範囲は精査を続けるとした。

同社は11日に調査の進ちょく（第2報）、12日に連携の順次再開（第3報）を公表し、20日に補償の方針を発表した。

懸念は流出コードからの「二次攻撃」

前述の通り、本番データベースへの侵害は確認されていない。では、実害が確認されていないのに、なぜ連携を止めたのか。

理由は、流出したソースコードそのものにある。広報部は、本番データベースや利用者の資産への直接の影響はなかったとしたうえで、ソースコードが流出した事実を重く受け止めた、と説明する。

というのも、ソースコードを解析されれば、システムの弱点を突く攻撃に悪用されかねないからだ。マネーフォワード広報部は「ソースコードの分析により、将来的に脆弱性を突いた二次攻撃を受ける潜在的なリスクを排除しきれなかった」と話す。

二次攻撃は、おおむね次のような経路をたどる。ソースコードがあれば、攻撃者はシステムを中身の見えない箱としてではなく、設計図を手にした状態で調べられる。外部からは気付きにくい処理の不備や認証のバイパスを読み解かれ、コード内に認証情報やAPIキーが残っていれば侵入の足がかりになる。組み込まれたライブラリのバージョンが判明すれば、既知の脆弱性も突きやすくなる。こうして見つけた穴から、本番システムへの侵入が試みられる。

つまり今回の停止は、被害が起きてからの対応ではなく、その芽をあらかじめ断つ予防的な措置だった。金融に近い領域でデータを預かるサービスでは、実害の有無以上に、リスクをどこまで見込んで動くかが問われる。