MENU
お金の知識を勉強するためのサイト。iDeCo、NISA、ふるさと納税、株式投資、株主優待など情報満載
  1. ホーム
  2. お金
  3. 【退会すべきか】マネーフォワードGitHub不正アクセスの本質

【退会すべきか】マネーフォワードGitHub不正アクセスの本質

マネーフォワード 家計簿 詐欺
当ページのリンクには広告が含まれている場合がございます。
【退会すべきか】マネーフォワードGitHub不正アクセスの本質

マネーフォワード、不正アクセス。

このニュースを見て、あなたの頭をよぎったのは「資産情報、ぜんぶ抜かれた?」「もう退会した方がいい?」という不安ではないでしょうか。

結論からお伝えします。

漏れたのは、本番データベースに保管されているあなたのお金や口座情報ではありません。

漏れたのは、サービスを動かしている「設計図」(ソースコード)の一部です。

ただし、安心してくださいとは言いません。

今回の事件には、利用者として知っておくべき「次に来る波」があります。落ち着いて、一緒に確認していきましょう。

目次

マネーフォワードの不正アクセスで何が起きたのか

2026年5月1日、マネーフォワードはソフトウェア開発に使う「GitHub」に第三者の不正アクセスがあったと発表しました。

同日17時時点での公式発表によると、認証情報が漏えいし、社内のリポジトリ(ソースコードの保管庫)がコピーされた可能性があるとのことです(出典:マネーフォワード「GitHubへの不正アクセス発生に関するお知らせとお詫び」2026年5月1日)。

事実関係を、シンプルに整理しておきます。

まず押さえたいのは、今回の問題は「マネーフォワードの家計簿データベースや会計データが丸ごと漏れた」という話ではない点です。

漏れたもの、漏れてないもの

漏れた可能性があるもの:

  • マネーフォワードグループの提供するサービスのソースコード
  • マネーフォワード ビジネスカード保持者370件分の「アルファベット名義」と「カード番号下4桁」

漏れていないことが確認されているもの:

  • カード番号の全桁、有効期限、セキュリティコード(CVV)
  • 本番データベースに格納されているお客さま情報

そして、今この瞬間も継続中の影響が一つあります。

銀行口座連携停止

安全確認のため、銀行口座連携機能が一時停止しているのです。

マネーフォワード ME(家計簿)でも、マネーフォワード クラウド(会計)でも、銀行の口座情報が自動で更新されない状態が続いています。

家計簿、今月どうなるの?

決算前なのに仕訳取り込めないんですけど!

この声、よくわかります。私自身、この停止は地味に痛いのです。

詐欺メールに注意

また、もう一つ問題は別にあります。

カード番号の下4桁や氏名は、詐欺メール、なりすまし、問い合わせ時の本人確認を装った攻撃に使われる可能性があります。

たとえば、「あなたのカード下4桁〇〇〇〇に関する重要なお知らせです」と書かれると、多くの人は本物らしく感じてしまいます。

自分の情報が少しでも含まれていると、人はその情報全体を本物だと判断しやすくなります。

攻撃者は、全情報を持っていなくても、一部の正しい情報を使って信用を作ることがあります。

ですから、該当者が最も警戒すべきなのは、カードそのものの不正利用だけではありません。

むしろ、今後届くメール、SMS、電話のほうです。

そもそも「GitHub」ってなに?

ニュースを読んで「GitHubって何だ?」と感じた方も多いはずです。

GitHubを一言で説明するなら、「世界中のエンジニアが使う、プログラムの設計図を保管する共同倉庫」です。

米国のGitHub社(現在はマイクロソフト傘下)が運営しており、企業の開発チームは、自社サービスのソースコード(プログラムの設計図)をこの倉庫に集めて、複数人で編集・管理しています。

家を建てる比喩で考えてみましょう。

  • 本番データベース:完成した家。住人(お客さま)の家具や貴重品が入っている
  • GitHubのリポジトリ:その家の「設計図」が入った倉庫

つまり、今回の「マネーフォワード GitHub 不正アクセス」は、利用者のスマホアプリに直接侵入されたというより、開発・管理のための保管庫に不正にアクセスされた問題です。

ここが極めて重要な区別です。

ただし、ここで素直に安心してはいけません。

設計図には「玄関の鍵の構造」や「金庫の場所」が書かれている可能性があります。

GitHub上のコードやファイルには、場合によってAPIキー、トークン、パスワード、認証情報などが含まれることがあります。

だからこそマネーフォワードは、銀行連携を一時停止し、ソースコードに含まれていた認証キーやパスワードをすべて無効化・再発行する措置を取ったのです。

マネーフォワードのGitHubの認証情報が漏れた原因は何か

不正アクセスの原因について、現時点での公式見解は「GitHubの認証情報が漏えいし、これを用いた第三者がアクセスを行った」というものです。

詳細な侵入経路は、現在も調査中とされています。

ただし、過去の類似事例から、ある程度の輪郭は見えてきます。

GitHubでは、開発者がプログラムから自動的にアクセスする際、PAT(Personal Access Token:個人用アクセストークン)と呼ばれる「鍵」を使うのが一般的です。

このPATには、注意すべき性質が3つあります。

  1. パスワードと同じ強さの権限を持つ
  2. 設定によっては有効期限が無期限のものもある
  3. 開発者のPCや、Slackのメッセージ、外部サービスとの連携設定など、思わぬ場所に「平文」で保存されてしまうことがある

「ソースコードに認証情報を直書きしてしまう事故」は、業界では繰り返し起きています。

米国では2023年、GitHub社自身が、漏えいしたPATを使って自社のリポジトリをコピーされる事件を起こしました。コードサイニング証明書3枚が盗まれるという、本家でさえ防ぎきれなかった事案です(出典:GitHub Blog、2023年1月31日付発表)。

つまり、これは「マネーフォワードだけが脇が甘かった」という話では片付けられない、SaaS業界全体に通底する構造的な問題なのです。

CAMPFIRE事件との「気味の悪い」既視感

ここから、この記事の核心です。

実は、今回のマネーフォワードの第一報を読んだとき、私は嫌な予感がしました。

デジャヴ、つまり既視感があったのです。それも、ほんの1カ月前のニュースに対して。

2026年4月、クラウドファンディングサービス「CAMPFIRE」でも、GitHubアカウントへの不正アクセスが発生しました。

第一報の時点では、こう発表されていたのです。「個人情報流出の事実は確認されていない」と。

ところが、調査が進み第四報が出た4月24日、判明したのは衝撃の事実でした。

最大22万5,846件の個人情報が漏えいした可能性があるというのです。

氏名、住所、そして口座情報まで含まれていました。

第一報から第四報まで、わずか22日間。「事実は確認されていない」が「最大22万件」になるまでの距離は、驚くほど短かったのです。

これがなぜ起きるのか。GitHubのソースコードには、本番システムへの「裏口の鍵」のヒントが書かれていることがあります。

攻撃者は設計図を読み込んで、別のシステムへの侵入経路を探し当ててくる。

だから、第一報時点では誰も全容を把握できていないのです。

マネーフォワードの第一報は、誠実だと評価できます。

流出した可能性のある情報と、現時点で流出が確認されていない情報を、明確に線引きしているからです。

しかし、「現時点で確認されていない」は「永久に何も起きない」とイコールではありません。

続報を待つ姿勢が、私たち利用者には求められます。

「マネーフォワードを退会した方がいい?」への回答

ここで、最も多くの方が知りたい話を見ていきます。

マネーフォワードを急いで退会すべきか否か。

私の答えは、「いまの情報だけでは、退会は最適解ではない」です。

理由を3つ挙げます。

あなたの個人情報は、データベースに残ったまま

退会しても、サービス側に登録されている過去のデータが「物理的に消滅する」までには時間がかかります。

法令に基づく保管義務がある情報も存在します。

つまり、退会という行為は、今回の不正アクセスのリスクを「ゼロ」にする魔法の杖ではありません。

失われるデータの価値が大きい

家計簿アプリの「マネーフォワード ME」では、過去数年分の収支・資産推移データが蓄積されているはずです。

退会と同時に、そのデータは復旧不可能なかたちで削除されます。

事業者の方であれば、もっと深刻です。

マネーフォワード クラウド会計の場合、一度退会すれば、過去の仕訳・帳簿データが消えます。

代替サービスへの移行は、想像する10倍は手間がかかります。

「リスク回避」のつもりが「機会損失」になり得る

行動経済学に「損失回避バイアス」という概念があります。

人は利益を得る喜びより、損失を被る痛みを2倍以上強く感じる、というものです。

今回のニュースに接した私たちは、まさにこの状態にあります。

「不安だから退会」は、感情としては自然です。

しかし、本当に守りたいのは「自分のお金」であって、「不安そのものを消すこと」ではないはずです。

冷静さを取り戻すために、次の章のチェックリストを使ってください。

利用者が今すぐやるべきこと【投資家・家計簿利用者・事業者別】

タイプ別に、優先度の高い順に整理しました。

マネーフォワード ME(家計簿)利用者

まずは家計簿としてマネーフォワード MEを使っている一般利用者です。

現時点では、金融情報を含むデータベースからの情報漏えいは確認されていません。

銀行連携も一時停止されており、安全確認が完了次第、再開予定とされています。

この場合、すぐ退会するよりも、公式発表の続報を確認しながら、連携先、ログイン設定、通知メールの確認を優先したほうが現実的です

以下の点をチェックしましょう。

  1. パスワードを変更する。マネーフォワードIDのパスワードを、他サービスと使い回していないか確認する
  2. ログイン履歴を確認する。覚えのないログインがないかチェックする
  3. 連携している銀行・証券口座のログインパスワードも、念のため変更する
  4. 銀行連携が停止中の間は、必要に応じて手動更新で対応する。データ自体が消えるわけではない

マネーフォワード クラウド利用者(事業者)

次に、マネーフォワード クラウド会計などを事業で使っている方です。

こちらは、退会するかどうかより、業務継続の問題が大きいです。

銀行API連携停止中は、明細取得や振込ができないため、CSVインポートやFBデータによる振込といった代替運用が案内されています。

月次決算、資金繰り、経理処理のタイミングに当たる会社は、担当者任せにせず、社内で一度確認したほうがよいでしょう。

以下の点をチェックしましょう。

  1. 同じくパスワード変更と二要素認証の有効化
  2. 銀行API連携が止まっている間の、代替的な仕訳取込フローを確保する(CSVインポート等)
  3. クライアントへの連絡。会計処理の遅延が出る可能性を、早めに伝えておく
  4. 退会・乗り換えを検討するなら、データのエクスポート(バックアップ)を先に行う

マネーフォワード ビジネスカード保持者

最後に、マネーフォワード ビジネスカード利用者です。

今回、流出した可能性がある個人情報として明示されているのは、ビジネスカードに関わる370件のカード保持者名とカード番号下4桁です。

該当者にはメール等で個別連絡されるとされています。

この方は、公式からの個別連絡の有無、カード利用明細、不審なメールや電話を重点的に確認してください。

  1. 該当者には個別連絡が来る。届いた場合、指示に従う
  2. クレジットカードの利用明細を、最低でも数カ月は注視する
  3. 不審な引き落としがあれば、即座にカード会社へ連絡する

退会したい場合の正規ルートも、念のため記しておきます。

マネーフォワード MEの退会は、Web版にログインし「マネーフォワード ME」のプロフィール設定画面から実行できます。

アプリを削除しただけでは退会したことにならない点には、注意が必要です。

それでも私が退会しない理由(個人的見解)

ここからは、客観的な解説ではなく、一個人の意見です。

私は今回のニュースを見て、マネーフォワードを退会する選択肢を一瞬考えました。

しかし、最終的にはアカウントを残すことにしました。

理由は、彼らの「初動」を評価したからです。

第一報の時点で、マネーフォワードは次のことを行っています。

  • 不正アクセスの経路となった認証情報の即時無効化
  • ソースコードに含まれる各種認証キー・パスワードの無効化と再発行
  • 安全確認のため、銀行連携機能を自主的に一時停止
  • 流出した可能性のある情報と、確認されていない情報の明確な線引き

特に、銀行連携の自主停止は、ビジネス的には大きな痛みを伴う判断です。

ユーザー数が多いだけに、停止すれば批判は避けられない。

それでも踏み切ったのは、銀行法に基づく電子決済等代行業者としての責任を、自ら厳しく解釈した結果でしょう。

完璧な情報セキュリティは、この世に存在しません。

GitHub社自身でさえ侵入を許した事例があるのです。重要なのは、事故が起きた後の透明性と速度です。

その意味で、今回のマネーフォワードの初動は、合格点と評価しています。

ただし、これはあくまで第一報時点での評価です。続報の内容次第で、この見立ては変わり得ます。

よくある質問

マネーフォワードの家計簿データは漏れたのですか?

現時点では、金融情報を含むデータベースからの情報漏えいは確認されていないとマネーフォワード MEのサポートサイトで説明されています。

ただし、今後新しい事実が見つかれば開示するとされています。

流出した可能性がある情報は何ですか?

公式発表で明示されているのは、マネーフォワード ビジネスカードに関わる370件のカード保持者名、アルファベット表記、カード番号の下4桁です。

カード番号全桁、有効期限、CVVの流出は確認されていません。

マネーフォワードを退会すれば安全ですか?

退会は今後の利用を止める行為であり、過去に発生した可能性のあるリスクを消すものではありません。

また、退会後のデータ復旧はできないと案内されています。

退会前に、データの控え、プレミアム課金の停止、連携先の整理を確認すべきです。

銀行連携が止まっているのは危険だからですか?

安全確認のための一時停止です。

マネーフォワードは、金融機関との連携処理における安全性確認が完了するまで連携を停止すると説明しています。

停止中は明細取得や振込ができないため、CSVインポートやFBデータによる振込が案内されています。

まとめ:恐れず、しかし油断もせず

今回のマネーフォワード不正アクセスで、私たちは改めて気づかされました。

便利なサービスほど、見えないところで多くのデータを預けています。

マネーフォワードを使うか、退会するか。その判断は人によって違って当然です。

ただし、共通してやるべきことはあります。

連携している金融機関を見直すこと。
使っていない連携を外すこと。
パスワードの使い回しをやめること。
公式発表の続報を見ること。
不審なメールや電話に反応しないこと。

お金を守るとは、利回りの高い商品を探すことだけではありません。

自分の金融データを、どこに、どれだけ、何のために預けているのかを把握することも、立派な資産防衛です。

今回のニュースは、不安を煽るためのものではありません。

便利さとリスクのバランスを、もう一度見直すきっかけにすべきニュースです。

にほんブログ村 株ブログ 投資信託へ
にほんブログ村
お金
マネーフォワード 家計簿 詐欺
記事が参考になりましたらシェアお願いします
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

kogeのアバター koge

豊かに生きていく上で必須なのがお金の知識です。
しかし、日本では「お金」が汚いものという認識が根強く、あまり勉強されてきませんでした。そのため今後は老後破産が増えてしまうなんて話もありますね。
そんな世の中を少しでも変えたいという強い信念を元に「お金に生きる」を立ち上げました。
投資歴15年以上、社会保険労務士、中小企業診断士、簿記1級、1級販売士、ファイナンシャルプランナー2級、年金アドバイザー3級持ちの私が「お金」についてどこよりもわかりやすくお伝えることを目指していきます。
詳しくこちらを御覧ください。>>運営者情報

関連記事

目次