【2026年5月最新】マネーフォワード GitHub不正アクセス事件まとめ ─ 対応方法と口座連携が正常に行えていない金融関連リスト

2026年5月1日、株式会社マネーフォワードは、同社グループがソフトウェア開発・システム管理に利用している「GitHub」の認証情報が漏えいし、第三者による不正アクセスが発生したと発表しました。攻撃者はGitHub上の「リポジトリ」（ソースコードの保管庫）をコピーしたことが判明しています。

GitHubとはプログラマーがアプリの設計図（ソースコード）を保管・管理するクラウドサービスです。今回は、このGitHubにログインするための「認証情報（鍵のようなもの）」が何らかの経路で外部に流出し、その鍵を使って第三者がリポジトリ全体をコピーしたという事件です。

流出が確認された情報・されていない情報

今回の事件で最も重要なのは、「何が漏れて、何が漏れていないのか」を正確に把握することです。

流出した可能性があるもの

確認されているのは、グループ会社のマネーフォワードケッサイ株式会社が提供する「マネーフォワード ビジネスカード」に関わる370件の「カード保持者名（アルファベット）」と「カード番号の下4桁」です。これは、個人情報の取り扱いを伴うサービスの更新作業の過程で、個人情報を含むファイルが本来の管理手順から外れて誤ってGitHub上に保管されていたことが原因と説明されています。

流出が確認されていないもの

クレジットカード番号の全桁・有効期限・セキュリティコード（CVV）、金融機関等連携先のログインに必要な情報、そして本番データベースに格納されたお客さま情報（マネーフォワード MEで参照可能な家計・資産情報を含む）です。

つまり、マネーフォワード MEを家計管理で使っている一般ユーザーの口座残高・取引履歴・ログインパスワードなどは、現時点では流出していません。金融機関へのログイン情報はソースコードとは別の本番データベースに暗号化して保存され、厳重なアクセス制限のもとで管理されているため、今回の不正アクセスによる金融機関への不正ログインのリスクはないとされています。

銀行口座連携機能の一時停止

マネーフォワード社は「サービスの安全運営に支障はない」としつつも、銀行法に基づく電子決済等代行業者としての責任を鑑み、各提携金融機関との安全性確認を万全にするため、マネーフォワード ME・マネーフォワード クラウドなど全サービスにおいて銀行口座連携機能を一時停止しています。

復旧の見通しとしては、不正アクセスの経路となった認証情報の無効化・アカウント遮断はすでに完了しており、ソースコードに含まれる各種認証キー・パスワードの無効化と再発行（洗い替え）も概ね完了しています。

すべての確認作業が終わり次第、サービスを順次再開する予定です。ただし、2026年5月4日時点で具体的な再開日時は未発表のため、公式サポートサイトの更新を確認する必要があります。

ソースコード流出のリスク

ソースコードの流出は個人情報漏えいとは異なりますが、軽視できるものでもありません。

ソースコードはアプリやサービスの「設計図」であり、ユーザーの個人情報そのものは通常含まれません。しかし、設計図が流出することでセキュリティの脆弱性が攻撃者に知られるリスクがあります。

マネーフォワード社が認証情報の無効化・再発行を迅速に実施したのは、まさにこのリスクを封じるためです。また、ソースコードの改ざんについては「本事象に起因する改ざんの恐れはない」と公式に否定されています。

ユーザーが今すべきこと

1. 公式の最新情報を定期確認する

調査は現在進行中であり、状況は日々更新されています。今後新たな情報漏えいが確認された場合は、対象者にメールで個別連絡すると公式発表されていますが、自身でもサポートサイトを定期的に確認しましょう。

マネーフォワード MEサポートサイト

2. マネーフォワード ビジネスカード利用者はカード明細を確認する

該当する370件の対象者には個別にメール連絡があります。ビジネスカードをお持ちの方は、身に覚えのない少額決済がないかを重点的にチェックしてください。

カード番号全桁やCVVは流出していないため不正利用リスクは低いですが、念のための確認は有効です。

3. 金融機関のログイン情報変更は現時点で不要

公式FAQでは「金融機関等のログイン情報の変更についてご対応いただく必要はございません」と明言されています。

今後、対応が必要になった場合は速やかに開示すると表明されています。

4. パスワードの使いまわしを見直す

今回の事件で直接的にユーザーのパスワードが流出したわけではありません。

しかし、これを機にマネーフォワード MEと他サービスで同じパスワードを使いまわしていないか確認し、心当たりがあれば変更をおすすめします。

5. フィッシングメールに警戒する

大きなセキュリティ事件の直後は、便乗したフィッシング詐欺が急増します。

「マネーフォワード」を名乗るメールやSMSで「パスワードを再設定してください」「アカウントが停止されました」などのリンクが届いた場合、安易にクリックせず、必ず公式サイトやアプリから直接アクセスして確認してください。

6. アカウント退会・連携解除は慎重に

不安から即座に退会したくなる気持ちは理解できますが、現時点では公式から「使用を中止してください」というアナウンスは出ていません。

口座連携が停止中のため、退会しても新規登録しても連携はできない状況です。状況が落ち着いてから判断しても遅くありません。

公式FAQ（よくある質問）の要点

Q. なぜGitHubに個人情報が含まれていたのか？ 

通常、GitHub上のソースコードに個人情報は含まれません。しかしサービスの更新作業中に、個人情報を含むファイルが管理手順から外れて誤って保管されていたことが原因です。詳細は警察・個人情報保護委員会と協議中のため非公開。

Q. 金融機関への不正ログインの恐れは？ 

ありません。金融機関のログイン情報はソースコードには含まれておらず、本番データベースに暗号化して保存され、厳格なアクセス制限のもとで運用されています。

Q. 自分が情報漏えいの対象か確認したい 

現時点で確認されている漏えいはビジネスカード370件のみ。対象者にはメールで個別連絡があります。ME一般ユーザーの情報流出は確認されていません。

Q. ソースコードの改ざんはあったのか？

 本事象に起因する改ざんの恐れはないと公式に否定されています。

時系列まとめ

問い合わせ先

5月5日現在 口座連携が正常に行えていない金融関連サービス

システム対応中で口座連携が正常に行えていない金融関連サービスの一覧（2026年5月5日 15:50 現在） – マネーフォワード MEサポートサイト

現時点では口座連携できない状態が発生しているのは以下の金融関連サービス

• 三井住友DSアセットマネジメント（三井住友DS投信直販ネット）
• ユナイテッド航空マイレージ
• クラブ・オン／ミレニアムポイント
• りそなNetアンサーplus
• BTCBOX
• みんなのFX(FX・シストレ・オプション)
• Light FX
• 三井住友カード (VpassID)
• 三井住友カード (SMBC ID)
• SMBCプラチナカード
• SMBC日興証券(Next-One)
• SMBC日興証券
• セディナカード
• JPBankカード(VISA・MASTER)
• PiTaPa倶楽部(メールアドレス以外でログイン)
• セゾンカード
• みずほマイレージクラブカード（セゾン）
• クラブ・オン／ミレニアムカード セゾン
• VISAカード系列
• 三菱UFJモルガン・スタンレー証券
• WealthNavi（ウェルスナビ）
• 三井住友トラストカード
• 東急カード
• かぞくのおさいふ
• SMBC日興証券(三井住友銀行仲介口座)
• セゾン投信

一部のユーザーが連携できていない金融関連サービス

• dカード
• アメリカン・エキスプレスカード
• VISA IntelliLink Spend Management
• Qoo10
• ウィブル証券

まとめ

今回のマネーフォワード GitHub不正アクセス事件は、ソースコードの流出とビジネスカード保持者370件の限定的な個人情報漏えいが確認されたものの、ME一般ユーザーの家計・資産データや金融機関ログイン情報の流出は確認されていません。

銀行口座連携は安全確認のため一時停止中で、認証情報の洗い替えは概ね完了しており、全確認作業の終了後に順次再開予定です。

ユーザーとしては「公式情報を定期確認」「パスワード使いまわし見直し」「フィッシング詐欺に警戒」の3点を押さえ、過度に慌てず冷静に状況を見守ることが大切です。