2026年5月1日、株式会社マネーフォワードは、ソフトウェア開発およびシステム管理に利用していた GitHub の認証情報が漏えいし、その認証情報を用いた第三者による不正アクセスが発生、GitHub 内のリポジトリがコピーされたことを公表しました。(株式会社マネーフォワード) また、同社は不正アクセスの経路となった認証情報の無効化、アカウントの遮断、ソースコードに含まれる各種認証キー・パスワードの無効化と再発行を進めたと説明しています。
本記事では、このインシデントを題材に、「機密情報をソースコードや平文ファイルに置くと何が起き得るのか」を漫画形式で整理します。
本漫画は、公式発表で確認できる内容をもとにした教育目的の再構成です。
認証情報の漏えい経路、検知方法、社内対応の詳細は公開されていないため、一部は一般的なインシデント対応の流れを参考に筆者が補完しています。
実際の社内手順を示すものではなく、特定企業を批判する意図もありません。
まとめ
今回の漫画で伝えたいポイントはシンプルです。
認証情報は「書かない・置かない・見せない」。
便利だからといって、ソースコードや平文ファイルにシークレットを置いてしまうと、漏えい時の影響範囲が一気に広がります。
日頃から以下を意識したいです。
- シークレット管理サービスを使う
- トークンには最小権限を設定する
- 使わなくなった認証情報は削除する
- 定期的にローテーションする
セキュリティ事故は、どの組織でも起こり得ます。
だからこそ、個別の事例を責めるのではなく、そこから学び、自分たちの開発・運用に活かすことが大切だと思います。
本記事は個人による学習・啓発目的の記事であり、各社の公式見解を示すものではありません。
漫画内のキャラクター、画面、会話、検知・対応フローの一部は、公開情報をもとにした筆者の再構成です。