【便利だったのに；；】情強が使ってる金融サービス「マネーフォワード」がやらかす‥‥

ライフハックちゃんねる弐式＞ Web・テクノロジー＞【便利だったのに；；】情強が使ってる金融サービス「マネーフォワード」がやらかす‥‥

2026年05月02日

【便利だったのに；；】情強が使ってる金融サービス「マネーフォワード」がやらかす‥‥

9コメント｜2026年05月02日 21:00｜Web・テクノロジー｜Edit

【重要】『GitHub』への不正アクセス発生に関するお知らせとお詫び（第一報）https://t.co/yLbK3S6BVy
— マネーフォワード (@moneyforward) May 1, 2026

GitHubリポジトリに個人情報を平文で保存
→ マネーフォワードビジネスカード利用者370件の「カード名義人名（アルファベット）」＋「カード番号下4桁」をソースコード/ファイル内に記載。

認証情報・各種キー・パスワードをソースコード内にハードコード
→ GitHub認証情報が漏洩した結果、リポジトリが丸ごとコピーされる事態に。普通はSecrets Managerや環境変数で管理すべきもの。

シークレットスキャンなどの基本的な防止策が機能していなかった
→ credentialや個人情報が長期間GitHub上に放置されていた可能性が高い。

当ブログサイトはアフィリエイト広告、バナー広告を利用しています。

カード番号などの個人情報をGithubにあげてたのヤバすぎる。
— RoRyu (@RoRyu_data_eng) May 1, 2026

サービス提供会社がカード情報を保持してたんだ。決済処理も自社で動かしてたってことなのかな。
このなんでもGitHub習慣は、露見してないだけでまだ他社でも色々あると思う
— せるしあ (@CELSIA_ai) May 1, 2026

まあまあ…と思ったら顧客の個人情報をGitHubにブチ込んでて草

ヤバさで言えば西日本シティ銀行下手したら超えるか？？ https://t.co/iHdOrs7SOl
— やる気がない (@IzhzkS4) May 1, 2026

要するに
「個人情報はアナログかもしくはデジタルでやるにしても会社内のサーバーなりPCなりに保存すべきだろうにそれを公なネットに保存しててそれを盗まれた」
って事かな?

うーんカス https://t.co/yoSRKChKH3
— SUBふがっち (@Mr_kitigai) May 2, 2026

PCディスプレイに平文PW直書き紙を批判できなくなった。

解約した。
— スーパーライズ - Super Rise 広島・山口釣り総合ガイドとダイエット飯 (@MM_CAYENNE) May 1, 2026

会社は「本」で強くなる　マネーフォワード　全社で取り組む「読書経営」

3 ：名無し

家計簿から資産まで全部紐付けてるのにこれは怖すぎだろ

2026/05/02 16:57 ID:kNm0mEn7 2 ：名無し

セキュリティ意識が低すぎてエンジニアの質を疑うわ

2026/05/02 16:56 ID:G1tHubDmg 4 ：名無し

名前と番号の下4桁だけとはいえソースコードに載せるのは基本中の基本すらできてない

2026/05/02 16:58 ID:Cr3d1t4No 6 ：名無し

シークレットスキャンすらまともにやってなかったのかよ

2026/05/02 17:01 ID:S3cr3tScan 7 ：名無し

予防措置で銀行連携も一時停止してるみたいだな
GW中に連携切れるとか不便すぎて泣ける

2026/05/02 17:03 ID:BankLinkSt 8 ：名無し

GitHubのアクセス権がーとか言ってるけど内部の管理ミスだろ
責任転嫁してるようにしか見えんわ

2026/05/02 17:04 ID:kNm0mEn7 9 ：名無し

エンタープライズBeRealとか言われててワロタ

2026/05/02 17:06 ID:B3RealEntp 10 ：名無し

CIOとかCISOは何してたんだよ
採用フローから見直したほうがいいレベルの不祥事だろこれ

2026/05/02 17:07 ID:CISO_Nannsa 11 ：名無し

本番データベースからの漏洩はないって言ってるけど信じていいのか

2026/05/02 17:09 ID:M0neyL3ak 12 ：名無し

>>11
リポジトリの中身丸ごとコピーされてるならもう手遅れだわ

2026/04/31 17:10 ID:kNm0mEn7 13 ：名無し

これはもう使えないやつ

 開発系エンジニアのためのGit/GitHub絵とき入門

2026/05/02 17:12 ID:MoneForDth

編集元：「x.com」

コメントする

コメント一覧 (9)

- 1. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2026年05月02日 21:06
- 他会社との連携はAPIなら大した影響ないやろ
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- - 4. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
  - 2026年05月03日 03:53
  - >>1
    マネーフォワードがビジネス用クレカ発行してるが、そのデータが流出したという話だから、API云々は関係ない
    が、開示以上のデータ流出があったのだとすれば、銀行口座取引明細クレカ取引明細証券会社取引明細が個人と紐付けられた状態で漏れたって可能性はある
    個人の総資産額の情報だけでも欲しがる悪人は多い
  - 0
    
    ジョウ・ジャック・にしき2世
    
    がしました
- - 5. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
  - 2026年05月03日 09:39
  - >>1
    不衛生な調理場見せられて味に関係ないって言ってるようなもんだぞそれ
  - 0
    
    ジョウ・ジャック・にしき2世
    
    がしました
- - 7. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
  - 2026年05月03日 13:13
  - >>5
    店で作ってる商品は不衛生でも、他から持ってきたパッケージ商品は別会社が運んでるから、そこに関しては直接的な影響は今のところないみたいな感じやろ
  - 0
    
    ジョウ・ジャック・にしき2世
    
    がしました
- - 8. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
  - 2026年05月03日 20:58
  - >>5
    その例えで言うなら、チェーン店のある店舗で食中毒が出たとき、そのチェーン店の他店舗に行くか？って感じだよ
    セントラルキッチンの問題かもしれんし、個別店舗の問題かもしれんが、今のところそのチェーン店は個別店舗固有の事象だと言っている
    信じるか信じないかはあなた次第
  - 0
    
    ジョウ・ジャック・にしき2世
    
    がしました
- 2. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2026年05月02日 21:56
- MoneytreeとかMoney Canvasは大丈夫かしら
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 3. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2026年05月03日 01:01
- うわやっぱり信用できん会社だったか
  復旧したら即退会しよ
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 6. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2026年05月03日 09:47
- プレミアムでカード挿してなくても、
  他金融サービスへのログイン権限も渡してるからな
  
  どう考えてもヤバい会社って分かったから、さっさと退会したほうがいい
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- - 9. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
  - 2026年05月03日 20:59
  - >>6
    これ、典型的なOAuthに対する誤解では
  - 0
    
    ジョウ・ジャック・にしき2世
    
    がしました