【インシデント速報】2026年5月13日|マネーフォワードGitHub不正アクセス・オーミケンシランサム続報・デンソーQilin攻撃
secureマネーフォワードでは開発環境のGitHubが侵害され、ソースコード内に混入した個人情報370件の流出が確認された。「開発コードに本番データを混入させない」体制がいかに難しいかを改めて示している。オーミケンシのランサムウェア攻撃はVPN経由と特定され、外部への情報送信も確認。製造業・中堅企業のVPNアクセス管理の甘さが狙われ続けている。デンソーでは海外グループ会社がQilinランサムウェアグループに侵害され、サプライチェーン全体を通じた脅威が現実化している。
1. マネーフォワード|GitHub不正アクセスでビジネスカード情報370件・ソースコード流出
対象企業: 株式会社マネーフォワード(フィンテック・会計SaaS)/公表日: 2026年5月1日、最終更新: 5月11日/攻撃経路: GitHub認証情報の流出→リポジトリへの不正アクセス
マネーフォワードは2026年5月1日、開発・システム管理で使用するGitHubアカウントの認証情報が外部へ流出し、第三者によって複数のリポジトリが不正にコピーされたと発表した。その後の調査で、リポジトリ内のソースコードに「マネーフォワード ビジネスカード」利用者のカード保持者名(アルファベット)とカード番号下4桁が計370件含まれていたことが判明し、5月11日の続報で公式に認めた。
クレジットカード番号の全桁・有効期限・セキュリティコード(CVV)の流出は確認されていないとしている。発覚後、不正アクセスの経路となった認証情報の即時無効化、リポジトリ内の各種認証キー・パスワードの再発行を実施した。また、一部銀行口座連携機能を予防措置として一時停止し、5月3日に再開している。5月11日の追記では「ソースコードに個人情報が含まれていた経緯」についても説明が行われたが、開発プロセス上の課題として調査を継続するとしている。
本事案は「開発リポジトリに本番データが含まれていた」という構造的な問題を露呈した。認証情報の管理だけでなく、コードレビュー・シークレットスキャンの徹底が問われる事例となった。
中小企業への影響
中小企業でも、システム開発をSIerや外注先に依頼する場面では類似リスクがある。本番データベースの接続情報・APIキーがソースコードにハードコーディングされたまま納品されるケースは珍しくない。「開発環境に本番データを置かない」「GitHubに秘密情報が混入していないかシークレットスキャンを定期実施する」仕組みを委託先に要求すべきだ。
推奨対応
- GitHubやGitLabへのアクセスは多要素認証(MFA)を必須化し、トークンは最小権限で発行・期限付きで運用する
- GitGuardianやgit-secretsなどのシークレットスキャンツールをCI/CDパイプラインに組み込み、APIキー・認証情報のコミットを自動検出する
- 開発・テスト環境には本番データを使わない。必要な場合はマスキング・仮名化処理を施したデータに限定する
- 外注先・SIerへの委託契約に「ソースコード内への個人情報・秘密情報混入の禁止」と「違反時の報告義務」を明記する
2. オーミケンシ|VPN経由ランサムウェア攻撃で従業員情報の外部送信を確認・調査継続
対象企業: オーミケンシ株式会社(東証プライム・化学繊維メーカー)/最初の公表: 2026年3月23日、続報: 2026年5月11日/攻撃経路: VPN経由の不正侵入→ランサムウェア展開
オーミケンシは3月23日に社内システムへのサイバー攻撃によるシステム障害を公表していたが、5月11日の続報でVPN経由でネットワークに侵入された可能性が高いと特定した。また、サーバ内のファイルが暗号化されており「ランサムウェアによる攻撃である可能性が高い」と判断したことも明らかにした。
外部へのデータ送信が確認されたサーバから持ち出されたデータは、取引先・顧客の個人情報は含まれておらず、従業員情報(氏名等)に限定されていることが確認されている。ただし調査は5月末頃を目安に継続中であり、漏えい件数の最終確定や決算発表の新スケジュールは引き続き未公表。基幹システムが停止したことで決算発表も延期が発生しており、上場企業として財務・開示面への深刻な波及が続いている。
ランサムウェアグループによる犯行声明も出ており、事態は攻撃・暴露・復旧の長期戦に入っている。VPN機器の脆弱性を突いた侵入はここ数年で最も多く使われる手口であり、製造業を中心に被害が続出している。
中小企業への影響
VPN機器は「一度設定したら放置」されやすい。ファームウェアを更新せずに運用し続けている企業が多く、既知の脆弱性を突かれるケースが後を絶たない。今回のように基幹システムが停止すれば受注・出荷・決算すべてが麻痺する。VPNの運用状況を今すぐ確認すること。
推奨対応
- VPN機器のファームウェアバージョンを確認し、ベンダーの最新版に更新する(特にFortigate、Citrix、Pulse Secure等は既知脆弱性が多い)
- VPN経由のアクセスに多要素認証を導入し、接続元IPアドレスを限定するIP制限を設定する
- 業務時間外のVPN接続・大量ファイルアクセスを「異常」として検知・アラートできるログ監視体制を整える
- オフラインバックアップ(ネットワーク非接続)を週次以上で取得し、ランサムウェア感染時に復元できることを定期的に検証する
3. デンソー|海外2拠点にQilinランサムウェア攻撃・社外関係者情報の流出可能性
対象企業: 株式会社デンソー(東証プライム・自動車部品大手)/公表日: 2026年4月30日/攻撃者: Qilin(キリン)ランサムウェアグループ/被害拠点: イタリア・モロッコ
デンソーは2026年4月30日、イタリアおよびモロッコの海外グループ会社拠点において第三者による不正アクセスが確認されたと発表した。3月28日(現地時間)に不正アクセスを認識し、緊急対策本部を設置した。その後の調査で、ランサムウェアグループ「Qilin(キリン)」が犯行声明を出していることも確認されている。
不正アクセスにより、社外関係者に関する情報および同社関連情報の一部が第三者によって不正に抜き取られた可能性を否定できない状況にある。一方、生産活動や顧客への製品納入については現時点で大きな影響は確認されていないとしている。デンソーにとっては2022年にドイツ子会社がLockBitの攻撃を受けて以来、複数回にわたるサイバー被害となる。
Qilinは2026年に入り活動を活発化させているRaaS(ランサムウェア・アズ・ア・サービス)グループで、医療・製造・行政など幅広い業種を対象に二重恐喝攻撃を実行している。東山産業(福祉用具)、デンソー(自動車部品)と立て続けに製造業の上場企業が標的となっており、日本のサプライチェーン全体が狙われている状況だ。
中小企業への影響
デンソーのような大手メーカーのサプライヤーや取引先であれば、今回の攻撃の余波が受発注システムの停止や情報連携の遮断として影響する可能性がある。さらに、サプライチェーン攻撃では「信頼された取引先」のアカウントやドメインを踏み台に使うケースもあり、「デンソーからのメール」を装ったフィッシング攻撃には特に注意が必要だ。
推奨対応
- 大手取引先からの連絡(特に「システム障害による支払先口座変更」や「緊急対応依頼」メール)は、電話で発信元に直接確認してから対応する
- 取引先との受発注システム・EDI連携が突然停止した場合のフローを事業継続計画(BCP)に明記しておく
- 自社のメールドメインにSPF・DKIM・DMARCを設定し、なりすましメール送信を防ぐ
- ランサムウェアグループの動向(特にQilin)をCISA・JPCERT等のアドバイザリで定期確認し、IOC(侵害指標)を自社の監視ルールに反映する
編集部まとめ
今週の3件は「開発環境の認証」「VPN機器の管理」「海外拠点のセキュリティ」という、中小企業でも対処可能な基本的な対策の抜けから始まっている。予算や人員の制約があっても、VPNのファームウェア更新・MFAの導入・ソースコードへの秘密情報混入防止の3点を今週中に確認してぷしい。
