マネーフォワード、ユーザー補償は「検討中」　本番DBへの侵害は確認されず

マネーフォワードは5月11日、ソースコード管理サービス「GitHub」への不正アクセスに伴い、資産管理サービス「マネーフォワード」の一部機能を停止している問題について、本番データベースへの侵害は発生していなかったと正式に発表した。

同社は5月1日から銀行口座連携機能を停止しており、今後は追加のセキュリティ対策と金融機関による確認を経て、順次サービスを再開する方針だ。再開時期については明示せず、「確定次第、速やかに知らせる」と説明するにとどめた。サービス停止によりユーザーに大きな影響が出ているものの、補償については「検討中」としている。

同社は5月1日、GitHub上の自社リポジトリが不正にコピーされ、ソースコードと自社ブランドのクレジットカードを保有するユーザー情報の一部が流出した可能性があると発表。その際、「安全確認のため」として銀行口座連携機能を停止した経緯がある。

11日の発表では、現時点で本番データベースへの侵害や改ざん、本番DB内の顧客情報の漏えいは確認されていないことも明らかにされた。ユーザーの資産や認証には影響がなく、「現時点でパスワード変更などの対応をお願いする事項はない」としている。

対策としては、流出した可能性のあるソースコードのセキュリティ検査を実施し、必要な追加対応を行った。また、流出した可能性のあるアラート通知などの認証情報を無効化し再発行したほか、予防的措置として全社的に認証情報の刷新を完了した。

さらに、GitHubの認証情報の発行・運用ルールを見直し、必要最小限の権限による厳格な管理体制に変更。リポジトリへの保存時に機密情報が含まれていないかを機械的に監視し、人為的な誤りによる混入を防止する仕組みも開発プロセスに組み込んだ。

本番環境は従来から24時間体制で監視していたが、開発環境でも異常な挙動を即座に検知するリアルタイム監視体制を新たに構築したという。

同社は個人情報保護委員会や関東財務局をはじめとする監督官庁に報告。管轄の警察署にも相談を開始している。