マネーフォワードMEのセキュリティを再確認｜不正アクセスのニュースを見て、自分は使い続けることにした

自分も、マネーフォワードMEに銀行口座、クレジットカード、証券口座を連携して使っています。

だからニュースを見たとき、正直かなり気になりました。

「銀行口座をつないでいるけど大丈夫なのか」
「パスワードは漏れていないのか」
「勝手に送金されたりしないのか」
「クレカや証券口座も連携しているけど危なくないのか」

難しいセキュリティ用語より、まず知りたいのはここでした。

自分のお金は大丈夫なのか。

今回のニュースで、まず何が起きたのかを確認した

ニュースで「不正アクセス」「銀行口座連携を一時停止」という言葉を見ると、銀行口座の中身がそのまま外に出たように感じてしまいます。

でも、公式発表を確認すると、今回の件は銀行口座のお金が抜かれた話ではありませんでした。

財布の中のお金を盗まれたというより、財布を作ったり管理したりする場所に入られた、という話に近いです。

もちろん、それでも問題です。

ただ、読者が一番不安になる「自分の口座から今すぐお金が抜かれるのか」という話とは分けて考える必要があります。

マネーフォワード公式発表でも、GitHubへの不正アクセスによりリポジトリがコピーされた一方で、本番データベースに格納されたお客さま情報の漏えいや、不正利用等の被害は確認されていないと説明されています。
マネーフォワード公式発表を確認する

また、銀行口座連携が一時停止されたのも、各提携金融機関との安全性確認を万全にするための対応と案内されています。
銀行口座連携の一時停止に関するお知らせを確認する

勝手に送金される可能性は低いと判断した

マネーフォワードMEは、基本的にお金を動かすアプリではありません。
銀行口座、クレジットカード、証券口座の情報をまとめて見るためのアプリです。

ネット銀行では、残高を見るためのログイン情報と、実際にお金を動かすための情報が別になっていることがあります。

• 取引用パスワード
• ワンタイムパスワード
• スマホアプリでの承認
• 認証アプリでの確認

ここで大事なのは、マネーフォワードMEが「お金を動かすアプリ」ではなく、残高や明細を見るためのアプリだという点です。

取引用パスワード、乱数表、ワンタイムパスワード、スマホ承認のような情報は、振込や出金などで使うものです。

マネーフォワードMEは、そういう資金移動に必要な情報まで預かる仕組みではありません。

だから、自分は「銀行口座を連携している＝勝手に送金される」という不安は、かなり切り分けて考えました。

パスワードは漏れていないのか

次に気になったのが、パスワードです。

銀行や証券口座を連携している以上、ここは避けて通れません。

マネーフォワードMEのQ&Aでは、今回の漏えい対象に、金融機関等連携先のログインに必要な情報は含まれていないと説明されています。
マネーフォワードME公式Q&Aを確認する

ただし、だから何もしなくていいとは考えていません。

パスワードの使い回しは別問題です。

マネーフォワードに限らず、別のサービスで漏れたパスワードを使い回していれば、不正ログインの入口になります。

自分が本当に怖かったのは、詐欺メールや偽サイト

今回、自分が一番怖いと感じたのは、銀行口座のお金がすぐ抜かれることより、住所やメールアドレスが悪用されて、詐欺メールや偽サイトに誘導されることでした。

たとえば、こんなメールです。

不安なときほど、人は焦ります。

「不正アクセス」「口座連携停止」「今すぐ確認」。
こんな言葉が並ぶと、ついリンクを押したくなります。

でも、ここが一番危ない。

確認するなら、メールやSMSのリンクからではなく、公式アプリを開く。
もしくは、自分で検索して公式サイトに入る。

注意すべきなのは、むしろここからです。

クレカや証券口座も連携しているけど危ないのか

クレジットカードや証券口座も、銀行と同じくらい気になります。

クレカなら利用明細が見えます。
証券口座なら資産額や保有商品が見えます。

漏れたら気持ち悪い情報です。

ただ、クレジットカードで実際に決済するには、カード番号全桁、有効期限、セキュリティコードなどが必要です。

マネーフォワードMEにカード明細を連携しているからといって、セキュリティコードまで登録しているわけではありません。

証券口座も同じです。

保有資産を見るためのログインと、実際に売買や出金をするための取引用パスワードは別です。

自分は、証券口座の取引用パスワードをマネーフォワードMEに登録していません。

だから、クレカや証券口座についても、連携しているだけで勝手に使われる、勝手に取引されるという不安はかなり下がりました。

ただし、利用明細や資産額が見えること自体は大事な情報です。
そこが気持ち悪い人は、必要な連携だけに絞った方がいいです。

ニュース後も、今のところ不審なトラブルはない

ニュース後も、自分の銀行口座、クレジットカード、証券口座で、今のところ不審なトラブルは起きていません。

勝手に送金された形跡もありません。
覚えのないカード利用もありません。
証券口座で変な取引が起きたこともありません。

もちろん、自分にトラブルがないから全員安全と言い切るつもりはありません。

ただ、少なくとも自分の範囲では、今回のニュース後に実害は出ていません。

自分は、すべての連携を外す必要までは感じなかった

自分は、今回のニュースを見ても、マネーフォワードMEの連携を全部外す必要までは感じませんでした。

理由は、もともと不要な銀行口座やクレジットカードをある程度整理しているからです。

年会費がかかるカード、使っていない口座、管理する意味が薄いものは、リスクや手間も考えて減らしてきました。

だから、使っていないものを大量につなぎっぱなしにしている状態ではありません。

不安だから全部外す。
それも一つの判断です。

でも、自分の場合は、必要なものだけ残して、あやしいメールや偽サイトに注意する方が現実的だと考えました。

連携を外した方がいい人、残してもいい人

すべての人が同じ判断でいいとは思いません。

使っていない銀行口座、昔作ったままのクレジットカード、ほとんど見ていない証券口座まで連携しているなら、整理した方がいいです。

大事なのは、怖くなって全部外すことではありません。

必要なものだけ残している状態にすることです。

自分がやる対策

今回の件で、自分が意識することはこれです。

• マネーフォワードIDの二段階認証を確認する
• パスワードを使い回さない
• 使っていない金融機関の連携を残さない
• 銀行や証券口座側の認証も確認する
• メールやSMSのリンクからログインしない
• 「今すぐ再設定してください」系のメールを疑う

特に最後です。

不正アクセスのあとに怖いのは、直接のお金の被害だけではありません。

不安になっている人を狙った詐欺メールです。

ここはかなり警戒した方がいいです。

まとめ：自分は使い続ける。ただし、油断はしない

不正アクセスのニュースを見て、マネーフォワードMEのセキュリティをあらためて確認しました。

公式情報を見る限り、今回の件は銀行口座のお金が抜かれた話ではありません。

金融機関のログイン情報が漏れたとも説明されていません。

そして、自分は取引用パスワードやワンタイムパスワード、スマホ認証の情報をマネーフォワードMEに登録していません。

ニュース後も、自分の銀行口座、クレジットカード、証券口座で、今のところ不審なトラブルは起きていません。

だから、自分はマネーフォワードMEを使い続ける判断をしました。

ただし、一番警戒しているのは詐欺メールや偽サイトです。

不安なときに「今すぐ確認してください」と言われると、人は押したくなります。

でも、そこを押さない。

確認するなら、公式アプリから開く。
自分で公式サイトに入る。

怖がりすぎて全部やめる必要はない。
でも、お金まわりのサービスなので、油断するのも違う。

自分には、必要な連携だけ残して、怪しいメールに釣られないように使うくらいがちょうどいいです。

セキュリティ面を確認したあと、実際に家計の流れを見るなら、マネーフォワードMEで固定費を見つける方法も参考になります。
スマホ代・保険・光回線まで含めた固定費見直しの流れは、固定費見直しロードマップにまとめています。

参考にした公式情報

この記事では、以下のマネーフォワード公式情報を確認したうえで、自分の判断を書いています。

• 『GitHub』への不正アクセス発生に関するお知らせとお詫び（第一報）
• 『GitHub』への不正アクセス発生および銀行口座連携機能の一時停止に関するQ&A
• 銀行口座連携機能の一時停止に関するお知らせ
• マネーフォワードME公式サイト