株式会社マネーフォワードは5月1日、「GitHub」への不正アクセスについて発表した。
これは同社がソフトウェア開発とシステム管理に利用している「GitHub」の認証情報が漏えいし、同情報を用いた第三者からの不正なアクセスが発生し、「GitHub」内のリポジトリがコピーされたというもの。ソースコードとリポジトリに含まれていたファイル内に記載された個人情報の一部が流出した可能性を確認している。
同社によると、通常はソースコードに個人情報の入力はないが、個人情報の取り扱いを伴うサービスの更新作業を行う過程で、個人情報が含まれたファイルが本来の管理手順から外れて誤ってGitHub上に保管されていたとのこと。
流出した可能性があるのは、マネーフォワードケッサイ株式会社が提供する「マネーフォワード ビジネスカード」に関わる370件のカード保持者名(アルファベット)とカード番号の下4桁。
同社では、該当する顧客に対しメール等で個別に連絡を行う。
同社では、不正アクセスの経路となった認証情報の無効化とアカウントの遮断を完了させるとともに、ソースコードに含まれる各種認証キー・パスワードの無効化と再発行の実施を行っている。
同社では、サービスの安全運営に支障はないと考えているが、銀行法に基づく電子決済等代行業者としての責任を鑑み、また各提携金融機関との安全性の確認を万全なものとするため、API連携を行っているすべての金融機関との連携を一時停止している。
同社では現在、認証情報の再発行(洗い替え)を概ね完了しており、すべての確認作業が完了次第、サービスを順次再開することを予定しているとのこと。
