現在、このようなことになっており(本番データを少し含むテストデータ約370件が、GitHub(ギットハブ)のリポジトリ設定ミスにより公開状態になっていたため)、クレジットカード番号の下4桁とローマ字姓名が外部から見える状況になっていました。全桁やCVCは漏れていませんが、若干名で悪用された可能性があるようです。
ITmedia (2026年5月7日付け)さんの記事では、現状このようなことになっているようです。
あのね、全部止めるんじゃなくて「当該カードユーザーや、当該ローマ字姓名をお持ちの方以外の口座連携は再開して欲しい」ってヘルプデスクに投げてみたところ「5日以上お待ちください」ってことになっているようです。
ここに、その詳細が書かれています(マネーフォワード公式サイトQ&A)
詳細はマネーフォワード公式のお知らせをご覧ください。 https://support.me.moneyforward.com/hc/ja/articles/57504390625305
あのね、そもそも論を言わせてもらうと「何で本番データまで晒す必要があったの?」という疑問は、こちらから説教がしたいほど持ち合わせているんですが(笑)それを情報漏洩というものでもなく、不正アクセスでもなく、単なるアップロードミスとするべきですね。
そして、その企業の経営者の方に言いたい。社員さん全員にこの本を配って欲しい、おれも読むから! という気持ちで充満しています(笑)
https://www.amazon.co.jp/dp/481561539X/?coliid=I1IHSIIKSRIE2
同じミスを繰り返さないために 〜56歳オジンでもできるGitHub安全運用ポイント〜
今回のマネーフォワードの件は、「設定ミス」というより「うっかりさんあるある」です。
自分も含めて、みんなが気をつけたいポイントを簡単にまとめました。
尼崎すみっコぐらしオジン流・予防策5ヶ条
- リポジトリを作るときは必ず「Private(非公開)」にする 「後でPrivateにすればいいか」は危険。最初から非公開にしておくのが鉄則です。
- .gitignore をちゃんと設定する 本番データやパスワード、.envファイルなどは絶対にGitHubに上げないように最初からブロックする。これを怠ると悲劇が始まります。
- 「git push」する前に、ブラウザで自分のリポジトリを開いて確認する 「本当にPrivateになってる?」「変なファイルが入ってない?」の2点チェック。これだけで事故の8割は防げます。
- 本番データは絶対にローカル以外に置かない テストデータを作る時も「本番そっくり」は厳禁。ダミーデータをちゃんと用意する習慣をつけましょう。
- ちょっとでも「これ大丈夫かな?」と思ったら、誰かに訊く。一人で抱え込まない。Slackやチームメンバーに「これ公開設定でいい?」と一言確認するだけで安心です。
番外編(心構え)
GitHubは便利な道具ですが、「世界中に公開される可能性がある場所」だという意識を常に持つ。これが一番大事です。
ではでは(・∀・)ノ
パソコンのお医者さん 極めて不自由・不便!! ネットウイングス 代表 田所憲雄 拝
0コメント