マネーフォワード、GitHub不正アクセスでソースコード流出の可能性を発表、サービス連携停止

マネーフォワードは5月1日、ソフトウェア開発などに使うソースコード管理サービス「GitHub」への不正アクセスを公表し、同日、家計簿アプリ「マネーフォワード ME」やクラウドサービスの銀行口座連携機能を停止した。流出した可能性があるのはソースコードと一部の個人情報で、本番データベースへの侵害や利用者の資産への被害は確認されていない。

連携は12日から順次再開し、同社によると29日時点の再開率は99％を超えた。それでも、事故から約1カ月たつ今も完全復旧には至っていない。技術的な対策は完了したと同社は説明するが、復旧の最後の一歩が長引く理由は、マネーフォワードが銀行法上の「電子決済等代行業者」として連携機能を提供している点にある。

起点はGitHubの認証情報 本番DBへの侵害はなし

まずはマネーフォワードに何が起きたのか、事態の全体像を整理しておこう。

流出したのはGitHubの認証情報で、これを使った第三者が不正にアクセスし、ソースコードなどを管理する「リポジトリ」がコピーされた。リポジトリ内のファイルに含まれていた個人情報の一部も、流出した可能性がある。

対象は、グループ会社のマネーフォワードケッサイが手がける「マネーフォワード ビジネスカード」に関する情報370件分で、内訳は「カード保持者名」と「カード番号の下4桁」だ。番号の全桁や有効期限、セキュリティコードの流出は確認されていない。

その後の詳細な調査でも、本番データベースからの情報漏えいや、データベースへの侵害・改ざんは確認されなかった。利用者にパスワード変更などを求める必要はないという。一方、流出した個人情報の範囲は精査を続けるとした。

同社は11日に調査の進捗（第二報）、12日に連携の順次再開（第三報）を公表し、20日に補償の方針を発表した。

恐れたのは、流出コードからの「二次攻撃」

前述の通り、本番データベースへの侵害は確認されていない。では、実害が確認されていないのに、なぜ連携を止めたのか。

理由は、流出したソースコードそのものにある。広報部は、本番データベースや利用者の資産への直接の影響はなかったとしたうえで、ソースコードが流出した事実を重く受け止めた、と説明する。

というのも、ソースコードを解析されれば、システムの弱点を突く攻撃に悪用されかねないからだ。マネーフォワード広報部は「ソースコードの分析により、将来的に脆弱性を突いた二次攻撃を受ける潜在的リスクを排除しきれない」と話す。

二次攻撃は、おおむね次のような筋道をたどる。ソースコードがあれば、攻撃者はシステムを中身の見えない箱としてではなく、設計図を手にした状態で調べられる。外部からは気づきにくい処理の不備や認証の抜け穴を読み解かれ、コード内に認証情報やAPIキーが残っていれば侵入の足がかりになる。組み込まれたライブラリのバージョンが判明すれば、既知の脆弱性も突きやすくなる。こうして見つけた糸口から、本番システムへの侵入が試みられる。

つまり今回の停止は、被害が起きてからの対応ではなく、その芽をあらかじめ断つ予防的な措置だった。金融に近い領域でデータを預かるサービスでは、実害の有無以上に、リスクをどこまで見込んで動くかが問われる。

もっとも、止めた連携を元に戻す段になると、判断はマネーフォワード1社では完結しない。