マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明

[岡田有花，ITmedia]

　マネーフォワードは、ソフトウェア開発に利用しているGitHubが不正アクセスを受け、一部の個人情報が流出した恐れがある問題をめぐり、「なぜGitHubに個人情報が保管されていたか」など、多く寄せられた疑問に回答する文書を5月7日までに公表した。

　「通常、GitHubに保存するソースコードに個人情報の入力はない」が、「個人情報の取り扱いを伴うサービスの更新作業を行う過程で、個人情報が含まれたファイルが本来の管理手順から外れ誤ってGitHub上に保管されていた」と説明している。

FAQより

　対象の個人情報が「本来の管理手順」から外れた理由など詳細については「現時点では回答できない」としている。

　漏えいしたソースコードには、金融機関など連携先のログインに必要な情報は含まれていないため、今回の不正アクセスに伴う金融機関への不正ログインの恐れは「ない」と説明。

　連携先のログインに必要な情報はソースコードの一部ではなく本番環境のデータベースに暗号化して保存し、アクセス制限を設けて「厳重な管理・運用を行なっている」という。

マネーフォワードME公式サイトのセキュリティの解説

　同社は5月1日、「GitHub」の認証情報が漏えいし、これを悪用した第三者による不正アクセスで情報が流出した恐れがあると発表。GitHub内のリポジトリ（ソースコードの保管庫）がコピーされ、ソースコードと、自社ブランドのクレジットカード「マネーフォワード ビジネスカード」保持者370件の氏名（アルファベット）などが流出した可能性があると説明していた。