【インシデント速報】2026年5月1日|マネーフォワードGitHub不正アクセス・アルプスアルパインVPN侵害・沖縄総合事務局FileZen 15,091名漏えい
secure1. マネーフォワードがGitHubの認証情報漏えいでリポジトリをコピーされ、ビジネスカード保持者370件分の情報流出可能性、銀行口座連携を一時停止。
2. アルプスアルパインが外部VPN経由で社内サーバへの不正アクセスを受け、役員・従業員・委託先のID・氏名・社内メールが流出した可能性。
3. 内閣府沖縄総合事務局のFileZen専用サーバに不正アクセス、土地書類や行事参加者など15,091名の個人情報漏えいの恐れ。
1. マネーフォワード、GitHub不正アクセスでビジネスカード370件分の情報流出可能性、銀行連携を一時停止
マネーフォワードは2026年5月1日、ソフトウェア開発に利用しているGitHubの認証情報が漏えいし、第三者による不正アクセスが発生したと公表した。GitHub内のリポジトリ(ソースコード保管庫)がコピーされたことが判明している。
流出した可能性のある個人情報は、子会社マネーフォワードケッサイが提供する「マネーフォワード ビジネスカード」の保持者370件分の氏名(アルファベット)とカード番号下4桁。カード番号の全桁・有効期限・セキュリティコード(CVV)の漏えいは現時点で確認されていないとしている。お客さま情報を格納する本番データベースからの情報漏えいも確認されていない。
同社は不正アクセス経路の認証情報の無効化とアカウント遮断を完了。ソースコードに含まれる各種認証キー・パスワードの無効化と再発行も概ね完了したという。安全確認のため「マネーフォワード クラウド」「マネーフォワード ME」などで銀行口座連携機能を一時停止した。
中小企業への影響
SaaS事業者だけでなく、社内開発・受託開発を行う中小企業にとっても他人事ではない。GitHubに本番認証情報や顧客データを誤って含めると、リポジトリ単位で一気に流出する。Stealer系マルウェアに感染した開発者端末から、ブラウザ保存のセッションCookieやPersonal Access Token(PAT)が窃取される事案が増えている。
推奨対応
- GitHub・GitLab等のPAT・OAuthトークンを棚卸しし、未使用・長期発行のものを無効化する
- リポジトリにシークレット(APIキー・DB接続文字列・カード情報)が含まれていないか、git-secretsやgitleaks等でスキャンする
- 開発者端末のEDR導入とブラウザ拡張の最小化で、Stealer感染リスクを抑える
- GitHubのSSO・2要素認証(パスキー推奨)を組織全体で必須化する
2. アルプスアルパイン、外部VPN経由で不正アクセス。役員・従業員のID・氏名・社内メール流出の可能性
電子部品大手のアルプスアルパインは2026年4月27日、社内システムの保守委託先業者から3月18日に「不正アクセスの痕跡が確認された」との連絡を受け、調査を進めた結果、4月13日に外部VPNシステム経由で社内サーバへの不正アクセスがあったと判明したと発表した。
外部から閲覧された可能性のある情報は、同社およびグループ会社の役員・従業員(退職者を含む)、委託先企業の一部従業員のログインID(社員番号を一部含む)、氏名、会社メールアドレス、役職、部門名、システムID。パスワードは暗号化して管理しており、不正取得の事実は確認されていないとしている。クレジットカード情報・銀行口座情報・マイナンバーは当該システム上に保存されていなかった。現時点で顧客情報や取引先情報への不正アクセスは確認されていない。
同社はVPNシステムを含むシステム全体のセキュリティ対策と監視体制の強化、個人情報の取扱いと管理ルールの再点検、社内システム利用者に対する情報セキュリティ教育の継続的な実施を順次実施するとしている。
中小企業への影響
VPN機器・SSL-VPN・リモートデスクトップは依然として攻撃の主要侵入経路だ。委託先業者のIDが奪われると、自社の境界防御をすり抜けて侵入される。「うちはVPNを使っているから安心」では済まない時代になっている。
推奨対応
- VPN機器(Fortinet・Cisco・Palo Alto・Pulse等)のファームウェアを最新化、CVE一覧と突き合わせる
- VPNログイン・特権アカウントへの多要素認証(MFA)を強制適用する
- 委託先業者・保守業者のアカウントを棚卸しし、不要IDを削除、必要なものは期限付き発行に切替える
- EDR/XDRで社内サーバの異常通信を常時監視し、認知から封じ込めまでの時間を短縮する
3. 内閣府沖縄総合事務局、FileZen不正アクセスで15,091名の個人情報漏えいの可能性
内閣府沖縄総合事務局は2026年4月28日、ソリトンシステムズが提供する大容量ファイル転送サービス「FileZen」の専用サーバに対し、2026年1月に不正アクセスがあり、サーバ上に保管していた個人情報が外部に漏えいした可能性があると発表した。
漏えいの可能性がある対象は計15,091名。内訳は土地関係書類の氏名・住所4,930名、行事参加者の氏名・写真8,549名、フェリー欠航分払戻し関係577名、港湾関係書類695名、各種証明書4名、履歴書3名など。攻撃は「FileZen」の脆弱性CVE-2026-25108(OSコマンドインジェクション)を悪用したゼロデイ攻撃の可能性が高い。ソリトンシステムズは1月13日にパッチV5.0.11を提供し、2月13日に脆弱性情報を公表していた。
沖縄総合事務局は不正アクセスを認知後、直ちに当該サーバの利用を停止しており、現時点で二次被害は確認されていないとしている。
中小企業への影響
FileZenは中小企業・自治体・教育機関でも幅広く導入されているファイル転送サーバだ。脆弱性公表前のゼロデイ攻撃は防ぎにくいが、パッチ公開後の対応スピードが被害を左右する。「アプライアンス機器だから問題ない」「ベンダー任せ」という運用は、今回のような事案で大穴となる。
推奨対応
- FileZenを利用している場合、V5.0.11以降にアップデート済みかを即時確認する
- ファイル転送・ファイル共有サーバを資産台帳に明記し、パッチ適用責任者を明確化する
- 不要になったファイルはサーバから定期的に削除し、漏えい時の影響範囲を最小化する
- サーバアクセスログを保全し、不審な認証・コマンド実行を検知する仕組みを整える
編集部まとめ
5月1日に表面化した3件は、いずれも「外部接点(GitHub・VPN・ファイル転送サーバ)」が侵入口になっている点が共通する。中小企業も社外と接続するシステムは想像以上に多い。本日のうちに、開発リポジトリ・VPN機器・ファイル転送サーバの3点について、最新パッチ適用状況と認証情報の棚卸しを実施したい。境界が崩れる前提で、内部の検知・封じ込めまで含めて見直すタイミングだ。
参考情報
- マネーフォワード「『GitHub』への不正アクセス発生に関するお知らせとお詫び(第一報)」(2026年5月1日)
- ITmedia NEWS「マネーフォワード、GitHubからソースコードと一部ユーザー情報流出か 銀行連携を一時停止」
- ScanNetSecurity「アルプスアルパインの外部VPNシステムに不正アクセス」
- ITmedia NEWS「アルプスアルパイン、VPN経由で不正アクセス被害 従業員の個人情報流出か」
- ScanNetSecurity「FileZen専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性」
- セキュリティ対策Lab「沖縄総合事務局、FileZenへの不正アクセスで15,091名の個人情報漏洩の恐れ」
