マネーフォワード、ユーザー補償は「検討中」 本番DBの侵害は「なし」
銀行口座連携機能の再開時期は明らかにしておらず、「確定次第、速やかに知らせる」と述べるにとどめた。
マネーフォワードは5月11日、ソースコード管理サービス「GitHub」への不正アクセスで情報が流出した影響で、資産管理サービス「マネーフォワード」の一部のサービスを停止している問題について、本番データベース(DB)への侵害はなかったと発表した。
5月1日から銀行口座連携機能などを停止しており、追加の対策や金融機関による確認を踏まえて順次再開する予定。再開時期は明らかにしておらず、「確定次第、速やかに知らせる」と述べるにとどめた。ユーザーに大きな影響が出ているが、補償は「検討中」という。
同社は5月1日、GitHub内の自社リポジトリがコピーされ、ソースコードと、自社ブランドのクレジットカードを保有するユーザー情報の一部が流出した可能性があると発表。「安全確認のため」銀行口座連携機能を停止した。
11日の発表によると、現時点で本番データベース(DB)への侵害や改ざん、本番DB内の顧客情報の漏えいがないことも確認。ユーザーの資産や認証には影響がなく、「現時点でパスワード変更などの対応をお願いする事項はない」としている。
対策として、流出した可能性のあるソースコードのセキュリティ検査を行い、必要な追加対応を実施。流出した可能性のあるアラート通知などの認証情報の無効化と再発行も行った他、予防的措置として、全社的に認証情報をの刷新を完了した。
加えて、GitHubの認証情報の発行・運用ルールを見直し、必要最小限の権限による厳格な管理体制に変えた他、リポジトリへの保存時に機密情報が含まれていないかを機械的に監視し、人為的な誤りによる混入を防止する仕組みも開発プロセスに組み込んだ。
本番環境は以前から24時間体制で監視していたが、開発環境でも異常な挙動を即座に検知するリアルタイム監視体制を構築したという。
個人情報保護委員会や、関東財務局をはじめとする監督官庁にも報告した。管轄の警察署にも相談を始めている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
マネーフォワードの銀行連携、10日経っても再開せず ユーザーに不満、解約した人も
資産管理サービス「マネーフォワード」で、銀行との連携停止が長期化しており、問題発生から10日経っても再開のめどが見えていない。
マネーフォワード、GitHubからソースコードと一部ユーザー情報流出か 銀行連携を一時停止
CAMPFIRE、最大22.5万人分の個人情報漏えいか 一部口座情報も GitHubアカウントに不正アクセス
クラウドファンディング事業を手掛けるCAMPFIREは4月24日、3日に発表したGitHubアカウントへの不正アクセスを巡り、最大22万5846人分の情報が漏えいした可能性があると発表した。