5月1日、マネーフォワードがGitHub(プログラム開発者向けのソースコード管理サービス)への不正アクセスにより、一部情報が流出した可能性があると発表しました。あれから一週間ほど経ちますが、令和8年5月8日現在、銀行などの金融機関連携機能はまだ停止したままです。
家計簿アプリのマネーフォワードMEだけでなく、私も使っているマネーフォワードクラウド会計も連携が止まっています。4月分の記帳が思うように進んでいない方も多いのではないでしょうか。
何が流出したのか
公表されている内容を整理します。流出した可能性があるのは、マネーフォワードビジネスカード保有者370件分の氏名と、カード番号の下4桁です。
クレジットカード番号の全桁や有効期限、セキュリティコードといった、いわゆる「お金を動かす鍵」になる情報は流出していないとされています。マネーフォワード側もその点は明確に否定しています。今回の連携停止は、被害が確認されたから止めているというより、念のための安全確認のために止めている、という位置づけのようです。
致命的な情報ではないという話
そもそもマネーフォワードに預けているのは、銀行や証券会社のログイン用パスワード、つまり残高や明細を「見るため」のパスワードです。振込や売買といった「お金を動かすため」の取引パスワードは、マネーフォワード側には預けていません。
ここは案外見落とされがちですが、明細閲覧用と取引実行用でパスワードを分けるのが、今の金融サービスの基本的な作りです。仮に閲覧用のパスワードが漏れても、それだけで送金や引き出しができるわけではありません。
カード番号も同じ考え方で設計されています。多くの決済サービスでは、事業者側はカード番号の全桁を持たず、下4桁など本人確認に使う情報だけを保存しています。全桁は決済代行会社が分離して管理しているのが一般的です。今回流出した可能性があるのも下4桁にとどまっており、これは仮に漏れても単独では決済に使えない情報として設計されています。
それでも実務はそれなりに困っている
ここからは税理士としての雑感です。
危険性は低いとしても、連携停止が長引くと、こちらの作業はそれなりに止まります。マネーフォワードクラウド会計を使って自計化(自社で記帳すること)している事業者の方は、4月分の取引データが自動で取り込めない状態が続いています。
CSVを手動でアップロードする、あるいは連携復旧を待ってからまとめて処理する、といった対応が必要になります。月次で試算表を出している事業者にとっては、地味に痛い遅延です。私自身も自分の事務所の記帳でこれを使っているので、若干困っています。
正直なところ、こうしたトラブルが起きるたびに、freeeとマネーフォワードクラウド会計のどちらを推すかという話を考え直したくなります。機能面ではそれぞれに強みがあるのですが、ここ最近の使い勝手や安定性を踏まえると、freeeに軍配が上がる場面が増えてきたな、というのが私の率直な感想です。あくまで今日現在の個人的な雑感です。
情報漏洩ニュースとの距離の取り方
この種のニュースは、これからも一定の頻度で出てくるはずです。マネーフォワードに限った話ではなく、どの会社でも起こり得ます。完全に防ぎ続けることは現実的に難しい、と前提を置いておいたほうが冷静でいられます。
だからといってクラウド会計や家計簿アプリを全部やめる、というのも現実的ではありません。紙とFAXだけで業務を回している事業者は、もうほとんどいません。リスクをゼロにする方法はなく、紙の書類だって盗まれる可能性はあります。
現実的な対応は、致命傷を負わない使い方をしておくことに尽きます。パスワードの使い回しを避ける、二段階認証を入れる、口座の入出金通知をオンにしておく、不審なメールのリンクを安易に踏まない。基本的なことですが、これを守っているかどうかで被害の大きさはかなり変わります。
連携復旧までの当座の対応
実務の話に戻します。連携復旧を待つ間にできることは、おおむね次のような対応です。
ひとつは、銀行や証券会社の側からCSVをダウンロードして、マネーフォワードクラウド会計に手動で取り込む方法です。会計ソフト側でCSVインポートの形式が決まっているので、これに合わせて整形すれば取り込めます。もうひとつは、4月分の記帳を一旦保留して、連携復旧後にまとめて取り込む方法です。月次決算の締めが近くないなら、こちらでも実害は小さく済みます。
事業者ごとに事情が違うので、顧問税理士がいる方はどちらの方針で進めるか相談されるのが無難です。ご自身で記帳されている方は、5月の中旬ごろまでに連携が戻らないようなら、CSV取り込みに切り替える判断をしてもよいと思います。
コメント