マネーフォワードは5月11日、ソースコード管理サービス「GitHub」への不正アクセスで情報が流出した影響で、資産管理サービス「マネーフォワード」の一部のサービスを停止している問題について、本番データベースへの侵害はなかったと発表した。
5月1日から銀行連携機能などを停止しており、追加の対策や金融機関による確認を経て順次再開する予定。再開時期は明らかにしておらず、「確定次第、速やかに知らせる」と述べるにとどめた。ユーザーに大きな影響が出ているが、補償は「検討中」という。
マネーフォワードの見解と対策状況
同社は5月1日、GitHub内の自社リポジトリがコピーされ、ソースコードと、自社ブランドのクレジットカードを保有するユーザー情報の一部が流出した可能性があると発表。「安全確認のため」銀行連携機能を停止した。
11日の発表によると、現時点で本番データベースへの侵害や改ざん、本番DB内の顧客情報の漏えいがないことも確認。ユーザーの資産や認証には影響がなく、「現時点でパスワード変更などの対応をお願いする事項はない」としている。
対策として、流出した可能性のあるソースコードのセキュリティ検査を行い、必要な追加対応を実施。流出した可能性のあるアラート通知などの認証情報の無効化と再発行も行ったほか、予防的措置として、全社的に認証情報のローテーションを完了した。
加えて、GitHubの認証情報の発行・運用ルールを見直し、必要最小限の権限による厳格な管理体制に変更。リポジトリへの保存時に機密情報が含まれていないかを機械的に監視し、人為的な誤りによる混入を防止する仕組みも開発プロセスに組み込んだ。
本番環境は以前から24時間体制で監視していたが、開発環境でも異常な挙動を早期に検知するリアルタイム監視体制を構築したという。
個人情報保護委員会や、関東財務局をはじめとする管轄官庁にも報告した。監督官庁にも相談を始めている。
関連する背景
マネーフォワードの銀行連携は、10日経過しても再開せず、ユーザーに不満が広がり、解約した人もいる。資産管理サービス「マネーフォワード」で、銀行との連携停止が長期化しており、問題発生から10日経過しても再開のめどが見えていない。
マネーフォワードは4月24日、3日に発表したGitHubアカウントへの不正アクセスを巡り、最大22万5846人分の情報が漏えいした可能性があると発表した。一部のクレジットカード情報やユーザー情報が含まれる可能性がある。
