マネーフォワードが5月1日に発表した「GitHubへの不正アクセス」に関するお知らせが、ネット上で大きく注目を集めている。発表そのものは、同社グループが利用するGitHubの認証情報が漏えいし、第三者によってリポジトリがコピーされたというもの。さらに、ソースコードと、リポジトリに含まれていたファイル内に記載されていた個人情報の一部が流出した可能性があるとしている。
話題の起点になったXポスト
発表の要点は、GitHubの認証情報が漏えいしたこと、その認証情報を使った不正アクセスが発生したこと、GitHub内のリポジトリがコピーされたこと、そして流出した可能性がある個人情報として「マネーフォワード ビジネスカード」に関わる370件のカード保持者名(アルファベット)とカード番号の下4桁が挙げられていることだ。
一方で、カード番号の全桁、有効期限、セキュリティコード(CVV)の流出は確認されておらず、本番データベースからの情報漏えいも確認されていないという。流出情報の不正利用などによる被害も、現時点では確認されていないとしている。また、追加被害を防ぐため、不正アクセスの経路となった認証情報の無効化やアカウント遮断、ソースコードに含まれる各種認証キー・パスワードの無効化と再発行を進めていると説明している。
さらに、銀行法に基づく電子決済等代行業者としての責任や、提携金融機関との安全性確認を踏まえ、銀行口座連携機能を一時停止していることも発表された。認証情報の再発行は概ね完了しており、確認作業が完了次第、サービスを順次再開する予定だとしている。
ただ、公式Xでこの発表が共有されると、リプライや引用リポストでは、発表文の中でも「リポジトリに含まれていたファイル内に記載されていた個人情報」という一文に疑問の声が相次いだ。特に「リポジトリに個人情報が入っていたのか」「なぜそんなファイルを置いていたのか」といった反応が目立ち、この部分に引っかかる声へ共感が集まっている。
反応として広がったXポスト
実際、引用リポストでは該当箇所だけを文字間を空けて強調する投稿が大きく拡散され、リプ欄や引用欄でも「そこが気になる」「ソースコード流出より、そのファイルに個人情報があったことが気になる」という方向の反応が並んでいる。別の投稿でも、リポジトリに置かれていたファイルから個人情報が流出したと読める点について、「なんでそんなファイルを置いているのか」と疑問を呈する声が出ていた。
ネットで疑問視されているのは、GitHubへの不正アクセスされたてことよりも「開発やシステム管理に使うリポジトリに、カード保持者名やカード番号下4桁を含むファイルが存在していた」という風に読める点だ。
発表では「本番データベースからの情報漏えいは確認されていない」と説明されているため、なおさら「なんで個人情報がリポジトリ内のファイルに記載されてるんだ?」という疑問が広がっている。
現時点の発表文では、そのファイルがどのような用途のものだったのか、なぜ該当情報が記載されていたのかまでは明らかにされていない。そのため、ネット上では疑問の声が多数出ているものの、背景や原因については追加説明を待つ段階となっている。今回の反応は、発表された被害範囲そのものに加えて、「リポジトリ内ファイルに個人情報」という表現が、技術系ユーザーを中心に強い違和感を呼んだ形だ。
参照元リンク