  |
「『GitHub』への不正アクセス発生に関するお知らせとお詫び(第一報)」という告知といっしょに公式のXの方で講座の連携を止めてますって告知が出た。
この告知があって、Xでは家計簿アプリ使うのやめましたって声が多くなっている印象がある。
でもあまり、クラウド会計使うのどうしようって話題はあまりないことが気になる。
一応、クラウド会計公式サイトの方にも告知は出ているのだが、
でも、売上規模の小さい家計簿の方を話題にしてほしかったのかなぁとか思ってしまったり。
----
> 当社がソフトウェア開発およびシステム管理に利用している『GitHub』※1の認証情報が漏えいし、これを用いた第三者による不正なアクセスが発生し、『GitHub』※1内の「リポジトリ」※2がコピーされたことが判明しました。
>・マネーフォワードケッサイ株式会社が提供する『マネーフォワード ビジネスカード』に関わる370件の「カード保持者名(アルファベット)」および「カード番号の下4桁」
Github のリポジトリのコピーによて、「カード保持者名(アルファベット)」および「カード番号の下4桁」が流出したのはわかりやすかったんだと思う。
ただ、マネフォって採用資料にあるようにたくさんのサービスを提供していてマイクロサービス化を進めているみたいだけど、
https://image.itmedia.co.jp/l/im/ait/articles/2204/19/l_ait_220419_mf2.jpg
https://image.itmedia.co.jp/l/im/ait/articles/2204/19/l_ait_220419_mf3_2_w290.jpg
今回の攻撃で、コピーされたソースコードの範囲って全体のどこなんだろうか?
家計簿と SaaS が両方とも連携止めているのってここで説明されているアカウントアグリゲーション基盤を止めてるってことなのかなと思った。
https://cocre.moneyforward-x.co.jp/service/product
> ・ソースコードに含まれる各種認証キー・パスワードの無効化と再発行の実施(概ね完了)
が、どのサービスに含まれていたものなのかは言及がないし、実はもっとヤバい用途の認証情報が漏れていたりして。
アカウントアグリゲーション基盤を止めてるとしたらそこからの邪推なんだけど、認証キーの種別によっては、
マネフォ内のシステムから銀行のシステムにアクセスするために使うものだったりしないだろうか。
が「概ね」ってことは、連絡しないとぱっと洗替ができないものがあって、しかもGWだから作業が進められないなんてことはないよね?
また、それを使われてマネフォの外のシステムに不正にアクセスされるなんてことはないよね?
> なお、流出したソースコードおよび個人情報の不正利用等による被害や、お客さま情報を格納している本番データベースからの情報漏えいは確認されておりません。
けど、現時点で悪用される可能性が残っているなら、もはやマネフォのサービスの範囲ではないし、
マネフォを一切使っていない誰かにも影響出ることだし、ちゃんと説明してほしいな、と思う。
このGW中、何もないといいなと本当に思うよ。
興味ないね
ぜひ、収束したあと、今回の失敗も赤裸々に語っていただきたいですね。 https://x.com/Yosuke0630/status/1794964305492029662
スクレイピングのところだけ復活してるのも怪しい
25
