【インシデント速報】2026年5月8日|日経米子会社M365不正ログイン・マネーフォワードGitHub侵害・2りんかん345万件中間報告
secureMicrosoft 365アカウントの乗っ取り、GitHubの認証情報漏えい、子会社サーバ経由の大量個人情報流出。連休明けの初日は、社員のSaaSパスワード・APIキー・委託先のアクセス権をまとめて棚卸しする日にしてください。
1. 日本経済新聞社|米子会社のMicrosoft 365アカウントへ不正ログイン、291人分の情報流出のおそれ
日本経済新聞社は2026年5月7日、米子会社の日経アメリカ社(ニューヨーク市)社員が利用するMicrosoft 365のアカウントが外部から不正ログインされ、社員と取引先の情報が流出したおそれがあると発表した。流出の可能性があるのは氏名・会社名・メールアドレスなど291人分。クラウド上のファイルには取引先の連絡先情報も含まれていたが、読者情報・取材関連情報は対象外としている。
3月上旬に取引先になりすました不正メールが送信されたことで被害が判明。日経はパスワード変更などの対応を行い、その後は不正ログインを確認していない。個人情報保護委員会への報告も完了している。日経社では2025年にもSlackへの不正ログイン事案を経験しており、SaaSアカウント管理の難しさが続いている。
中小企業への影響
Microsoft 365・Google Workspace・Slack・Boxなど、全社で同じSaaSを使う企業ほど、1アカウントの侵害で取引先まで波及するリスクが高い。海外拠点や子会社でMFAを徹底できていないと、アカウント乗っ取りからのなりすましメールで取引先の経理担当者に偽の振込指示が届く事案が頻発している。
推奨対応
- Microsoft 365およびGoogle Workspaceの全アカウントでMFAを必須化し、SMS認証ではなく認証アプリ・ハードウェアキーを使う
- 海外拠点・小規模子会社でも本社と同じMFAポリシーを適用する。例外運用は禁止する
- 取引先からの「振込先変更」「請求書再送」依頼は、必ずメール以外の経路(電話)で確認する社内ルールを文書化する
- 不審なログインの自動アラート(不慣れな国・深夜時間帯)をMicrosoft Entra IDの条件付きアクセスで設定する
2. マネーフォワード|GitHubへの不正アクセス、ビジネスカード370件・ソースコード流出の可能性
家計簿・経費精算サービスを提供するマネーフォワードは、同社グループが利用するソースコード管理サービスGitHubの認証情報が漏えいし、第三者による不正アクセスでリポジトリがコピーされたと発表した。流出した可能性があるのは「マネーフォワード ビジネスカード」のカード保持者名(アルファベット)とカード番号の下4桁370件分、およびソースコード自体。ソースコードには各種認証キーやパスワードも含まれていた。
カード番号の全桁・有効期限・セキュリティコードの流出は現時点で確認されていない。マネーフォワードは認証情報の無効化、各種APIキー・パスワードの再発行を概ね完了し、銀行口座連携機能を一時停止して影響範囲の調査を継続している。ソースコードに本番環境の認証情報が残っていた構成自体が、エンジニア界隈で大きな議論となっている。
中小企業への影響
GitHubに業務コードを置く企業すべてに該当する事案である。リポジトリに認証情報・APIキー・本番DBのパスワードが平文で残っていれば、認証情報1本の漏えいでサプライチェーン全体が侵害される。「機密情報を環境変数に逃がす」という基本が守られていない開発現場は多い。
推奨対応
- GitHub・GitLab・Bitbucketの全アカウントでMFAを必須化し、Personal Access Tokenの有効期限を90日以内に設定する
- リポジトリ内の認証情報をgit-secrets・gitleaks等のツールで定期スキャンする
- 本番環境のAPIキー・DBパスワードは環境変数または秘密管理サービス(AWS Secrets Manager等)に格納し、ソースコードへ記載しない
- GitHub Enterprise契約企業はSSO・IPアドレス制限を有効化し、退職者アカウントの即時失効ルールを徹底する
3. イエローハット(2りんかんイエローハット)|中間報告で最大345万人の漏えい可能性に拡大
カー用品大手イエローハットの連結子会社・株式会社2りんかんイエローハットは、4月20日夕刻に検知した不正アクセスについて、5月1日に中間報告を公表した。最大345万5,754人分の会員情報が漏えいした可能性があるとし、当初の発表から大きく規模が拡大した。流出のおそれがあるのは氏名、住所、電話番号、生年月日、メールアドレス、会員番号、ポイント残高、アプリユーザーID、アプリパスワードなど。
クレジットカード情報は別システムで管理されており、本件による漏えいの可能性はないとしている。イエローハットは個人情報保護委員会への報告と警察への被害届提出を完了しており、本体および他子会社の顧客情報への影響はないと説明する。バイク用品専門店「2りんかん」のアプリ会員規模を考えると、中堅小売・ECにとって他人事ではない事案である。
中小企業への影響
子会社・グループ会社のシステムを本社と同じセキュリティ水準で運用できていない企業は多い。会員アプリのDBに登録される個人情報量は中小企業でも数十万件規模に達することが珍しくなく、漏えいすると個人情報保護法に基づく本人通知・委員会報告の義務が一気に膨らむ。
推奨対応
- 会員DBの保有件数・項目を四半期に1度棚卸しし、不要な保有データ(退会者・休眠会員)を削除する
- アプリパスワードのハッシュ化方式(bcrypt・Argon2)を確認し、平文・MD5・SHA-1運用を即時改修する
- 子会社・グループ会社のサーバを本社SOCで一元監視する。ログ保存期間は最低90日に設定する
- 個人情報漏えい発覚時の「本人通知テンプレ」「個人情報保護委員会報告書フォーマット」を事前準備する
編集部まとめ
連休明けの月曜は攻撃者が最も狙う日です。3件に共通するのはSaaSアカウント・GitHubトークン・子会社の管理者アカウントが侵入経路になっている点。今日中に「MFA未設定の管理者アカウント」「環境変数化されていない認証情報」「子会社の旧パスワード運用」を点検し、1つでも該当すれば連休前の状態に戻る前に塞いでください。
