株式会社マネーフォワードは6月23日、5月1日に公表した「GitHub」への不正アクセスについて、第四報を発表した。
同社では、ソフトウェア開発とシステム管理に利用している「GitHub」の認証情報が漏えいし、同情報を用いた第三者からの不正なアクセスが発生し、「GitHub」内のリポジトリがコピーされたことで、ソースコードとリポジトリに含まれていたファイル内に記載された個人情報の一部が流出した可能性が判明していた。
同社にて「GitHub」上のリポジトリに含まれる個人情報の範囲について精査した結果、流出した可能性が判明した個人データの詳細は下記の通り。
1.顧客に関する情報のうち、氏名またはメールアドレス:124名分
内訳:氏名(100件)、メールアドレス(24件)
2.取引先に関する情報:28名分
内訳:氏名(5件)、メールアドレス(23件)
3.マネーフォワード従業員(退職者含む)に関する情報:2,300名分
内訳:システム上の固有識別子(373件)、氏名(490件)、メールアドレス(1,807件)、電話番号(305件)
4.顧客に関する情報のうち、単体で個人を特定できない固有識別子:60,449名分
マネーフォワードグループがユーザーを区別するためのシステム上の管理用番号(最大19桁の数字)
同社では対象者のうち、連絡先を把握している個人・事業者に個別で案内を実施している。
同社では安全性のさらなる強化に向けて、外部セキュリティ専門機関の評価も踏まえ、下記の再発防止策を実施・完了しているとのこと。
・不正アクセスの再発防止
認証情報の漏えいへの対策として、業務端末におけるセキュリティ統制をさらに強化。
安全な通信統制基盤の導入で、認可外の外部サイトやクラウドサービスへのアクセスをシステム的に遮断する仕組みを構築し、Web環境における不正な通信への対策強化を実施。
・個人情報混入の再発防止
「GitHub」等の開発環境における個人情報の取り扱いに関する社内体制を整備するとともに、従業員教育の徹底で混入そのものの防止を図る。
・監視体制の強化と恒久化
従来の本番環境における24時間監視に加え、開発環境においても異常な挙動を即座に検知するリアルタイム監視体制を構築・強化し、その恒久化を図る。

