【インシデント速報】2026年5月2日|マネーフォワード・アルプスアルパイン・マツダ病院で不正アクセス・設定ミス相次ぐ
secure① 開発リポジトリ(GitHub)から認証情報が抜き取られる事案が大手SaaS事業者で発生。自社開発を委託している中小企業も他人事ではない。
② 外部VPNの侵害で従業員の個人情報が流出。リモートアクセス基盤の点検を急ぐべきタイミング。
③ 委託先のクラウド設定ミスで626名分の患者情報が1年8カ月間閲覧可能に。委託先管理の盲点を直視する。
マネーフォワード|GitHub認証情報の漏えいによりソースコードと個人情報370件流出
公表日: 2026年5月1日 / 業種: 金融SaaS / 影響: ビジネスカード保有者370件+ソースコード
マネーフォワードは2026年5月1日、ソフトウェア開発に利用しているGitHubの認証情報が漏えいし、第三者によりリポジトリがコピーされたと発表した。流出が確認された個人情報は、子会社のマネーフォワードケッサイが提供する法人向け「マネーフォワード ビジネスカード」保有者370件の氏名(アルファベット)とカード番号の下4桁。クレジットカード番号の全桁、有効期限、セキュリティコードの流出は確認されていない。
同社はGitHubのリポジトリがコピーされ、提供サービスのソースコードが閲覧・コピーされたことを確認。不正アクセスの経路となった認証情報の無効化と、ソースコードに含まれていた各種APIキー・パスワードの再発行を完了したとしている。安全確認のため「マネーフォワード クラウド」「マネーフォワード ME」などで銀行口座連携機能を一時停止しており、確認作業の完了次第、順次再開する方針。
中小企業への影響
SaaSサービスを業務利用している中小企業は、銀行連携停止による経理・資金繰り業務への影響に直面している。また、開発を外注している企業は、自社のリポジトリ・APIキー管理体制を見直す契機になる。「ソースコードに本番データの一部や認証情報が混入していた」という点が、今回の流出規模を広げた最大の要因である。
推奨対応
- マネーフォワード利用企業は、銀行連携機能の停止状況と再開時期を社内経理部門に共有する
- 外注・自社開発を問わず、GitHubなどのリポジトリにAPIキー・パスワード・本番データが混入していないか棚卸しする(git-secretsやTrufflehog等のシークレット検出ツールを導入)
- GitHubの組織アカウントに二要素認証(2FA)とSSOを必須化、外部協力者のアクセス権限を最小化する
- 業務委託先の開発会社にも同等のリポジトリ管理ルールを適用しているか確認する
アルプスアルパイン|外部VPN経由で侵入、役員・従業員・委託先の個人情報が流出の恐れ
公表日: 2026年4月27日 / 業種: 電子部品メーカー(東証プライム) / 影響: 役員・従業員・委託先従業員の個人情報
アルプスアルパインは2026年4月27日、同社が利用している外部VPNシステムへの不正アクセスにより、役員・従業員(退職者含む)および委託先企業従業員の一部個人情報が外部から閲覧された可能性を公表した。きっかけは2026年3月18日に保守委託業者から「不正アクセスの痕跡を確認した」との連絡があったこと。4月13日には社内サーバへの侵入も確認された。
外部から閲覧された可能性のある情報は、ログインID(社員番号を一部含む)、氏名、会社メールアドレス、役職、部門名、システムID。パスワードは暗号化保管されており、不正取得は確認されていない。同社は該当システムの利用停止、設定見直し、外部専門機関による技術調査を実施しており、再発防止策としてVPN含むセキュリティ対策と監視体制の強化を進めるとしている。
中小企業への影響
外部VPNはコロナ禍以降のリモートワークで多くの中小企業が導入したが、運用が形骸化しているケースが散見される。今回の事案は「保守委託業者からの通報がなければ気づけなかった」というのが実態であり、自社で侵害の痕跡を検知する仕組みがない場合のリスクを示している。
推奨対応
- VPN機器のファームウェアを最新版に更新し、CVE情報を継続監視する(特に旧式の利用継続は避ける)
- VPNアカウントに多要素認証(MFA)を必須化、退職者アカウントの即時無効化フローを整備する
- VPNログを最低6カ月以上保管し、海外IPや業務時間外の不審なログインを検知できる体制をつくる
- ゼロトラスト型の代替手段(クラウドプロキシ、ZTNA)への移行を検討する
マツダ病院|業務委託先のクラウド設定ミスで626名の患者情報が1年8カ月間閲覧可能に
公表日: 2026年4月23日 / 業種: 医療機関 / 影響: CT・MRI・RI撮影患者626名
マツダ病院は2026年4月23日、業務委託先の外部事業者がデータ保管に利用するクラウドサービスのファイル共有設定を誤り、患者の個人情報が本来アクセス権限を持たない第三者から閲覧可能な状態になっていたと公表した。対象は2021年2月〜3月にCT・MRI・RIの撮影を行った患者626名で、漏えいのおそれがある情報は患者ID、氏名(ローマ字またはカタカナ)、撮影日、撮影種別、部位、部位数。
設定誤りは2023年4月上旬から2024年12月中旬までの約1年8カ月にわたって継続。外部事業者が問題に気付いたのは2024年11月下旬で、設定の是正完了は2024年12月中旬だが、マツダ病院への報告は2026年2月16日まで行われず、発覚から正式報告まで約1年2カ月のタイムラグが生じていた。
中小企業への影響
「クラウドの公開設定ミス」は中小企業でも頻発するインシデントの一つだが、今回はそれ以上に「委託先からの報告遅延」が問題の本質である。委託先での事故が発覚しても元請けに即時報告される契約・運用になっていなければ、自社が被害者として説明責任を果たせない事態に陥る。
推奨対応
- 業務委託契約書にインシデント発生時の「速報義務」(72時間以内など期限明示)を盛り込む
- 個人情報を扱う委託先には、年1回以上の監査・実地確認の機会を設ける
- クラウドストレージ(Google Drive、Box、SharePointなど)の共有リンク棚卸しを四半期ごとに実施
- 「リンクを知っている全員が閲覧可」を原則禁止し、組織内・指定アカウントのみ許可する設定をデフォルト化する
編集部まとめ
本日のインシデントは、すべて「外部とつながる接点」からの侵害という共通点をもつ。GitHub・VPN・委託先クラウドはいずれも自社の境界線の外にあるが、事故が起きれば責任は自社が負う。中小企業に必要なのは、社内ネットワークを守るだけでなく、「どこに、何を、どんな権限で預けているか」を可視化し定期的に棚卸しすることだ。連休前のいまこそ、外部接点の権限見直しを実行に移したい。
