家計簿アプリ「マネーフォワードME」は、本当に安全なのでしょうか?
「入出金データどう管理されるの?」
「銀行やカード連携しても安全?」
「何に気をつけて使えばいいの?」
公式サイト「安心のセキュリティ体制」なんて、難しい用語で説明されても、ちょっとデジタルに疎い・苦手な方だと「何が、どう安全なのか?」わかりませんよね?
そこで今回マネーフォワードが明示している、
- セキュリティ対策の意味
- おすすめセキュリティ設定
情報セキュリティ資格を有するIT管理プロが、わかりやすく解説していきます。
この記事の内容
- セキュリティ対策わかりやすく説明
- マネーフォワードに足りない安全対策
- インシデント、脆弱性の事例チェック
- 危険に晒さないための設定&使い方
- 知っておくべき「口座連携リスク」
マネーフォワードMEの安全性は「使い方次第」
まず結論ですが、マネーフォワードMEは「FISC」という金融機関の安全性対策基準に遵守しているので、安全です。
なんて説明されても、全然わかりませんよね?つまり、
システム堅牢性は、
銀行レベルなので安全!
です。ただし!3点ほどケチをつけます。
- 不足している安全対策が1つある
- 使い方、設定次第でリスクあり
- 口座連携によるリスクを知っておくべき
この理由について、後述していきます。
まず、マネーフォワードが何をもって「セキュリティは大丈夫!」と示しているのでしょう?
マネーフォワードME|4つのセキュリティ対策
公式サイトで明示している「安心のセキュリティ対策」です。
- 預かるのはログイン情報のみ
- データは常に暗号化
- 二段階認証でセキュリティ強化
- パスコードロック&指紋認証
以下順に説明していきます。
1.預けるのはログイン情報のみ
マネーフォワードMEでは、銀行やクレジットカードからオンラインで入出金データを取得し、家計簿を自動管理する機能を「口座連携」と表現しています。
例えば、楽天カードであれば、「クレジットカード支払い」または「口座番号などの確認」には、「第2パスワード」また「本人認証」が必要です。
そのため、「ログイン情報だけでは、不正な入出金はできないので安全です!」万が一の情報漏えいが発生しても、直ちに被害を受けないであろうと示しています。
2.データは常に暗号化
「銀行の金庫を背負って持ち運ぶレベルのセキュリティなので、誰にも覗かせません!」
ズバりこの説明に尽きます。
「2048bit、且つSSL証明書、最高水準の暗号方式!」
なんて説明されても、誰もよく分かりませんので。
この、どこでもよく見かける「暗号化」もう少し分かりやすく説明しますと、、
「データ暗号化」の説明
例)「あ」の一文字を入力して、それをマネーフォワードMEが暗号化する流れ。
↓ ↓ ↓
マネーフォワードMEは「くぁwせdrftgyふじこlp」のように、とても長い文字列に暗号化して保存。
(実際もっと長い16進数、は割愛…)
↓ ↓ ↓
「くぁwせdrftgyふじこlp」を再度「あ」と読める文字へ戻すには、あなたが使っている「マネーフォワードME」が必要。
因みにハッカーが「暗号化を自力で解除」するには、いまの一般的なIT技術だと「10億年以上」かかるそうですよ。
つまり、例えハッカーがマネーフォワードMEに侵入して、「くぁwせdrftgyふじこlp」を盗み出しても、「あ」へ戻すのは「至難のワザである」このような理解でOKです。
3.二段階認証の設定は必須レベル
第三者による不正にアクセスされない対策です。
マネーフォワードMEは、「クラウド」と呼ばれている、オンライン上に家計簿データを扱い・保存するサービスです。
当たり前ですが、ブラウザからマネーフォワードMEのログインページにアクセスして、正しいIDパスワードを入力してログインすれば、家計簿が閲覧できることになります。
これはつまり、誰でも適当にIDパスワードを入力していけば、いずれ不正ログインできてしまうというリスクがあるわけですね。
だからこそ「二段階認証」を設定して、パスワードだけではログインできない対策が必要です。
でも毎回、「パスワード + 二段階認証コード」入力するなんて、めんどくさいな…
アプリ設定で「ログイン状態を30日間記憶」させることもできますよ!
さらに、マネーフォワードMEを「Apple ID」または「Googleでログイン」で使う設定とすれば、二段階認証コードすら入力しなくてもOK!といった、夢のような使い勝手が実現できますよ。
ですがこの場合、ログインするApple ID、Googleアカウント側の認証セキュリティ強化(二段階認証など)必須でしょう。
マネーフォワードMEの認証強化する設定については、後述します。
大事なことなので覚えてほしいのが、「誰もがアクセスできる、”Webログインページ” を基準に不正アクセス対策が必要」です。
4.パスコードロック&指紋認証
スマホを紛失&盗難したとき、家計簿を見れないようにする対策です。
スマホのマネーフォワードMEアプリ起動時に、本人確認の「パスワード入力」または「指紋認証」を行ってから、マネーフォワードMEを使う方法です。
ここまで、「マネーフォワードMEのセキュリティ対策は盤石!」といった説明をしてきました。
ですが実際、安全性の配慮が1点欠けている事実もあります。
マネーフォワードMEで不足しているセキュリティ対策
「ログイン履歴」を確認できないことです。
マネーフォワードMEには、普段と異なる環境からのログインをメール通知する「リスクベース認証」という方法があります。
ですが、他に不審なログインが無いか?チェックするためのログインした履歴を確認する方法がありません。
因みにですが、マネーフォワードMEの「通常とは異なる環境」の定義です。
| 環境 | チェック内容 |
|---|---|
| 場所 | IPアドレスからのおおよその場所 |
| デバイス | スマホ、PCなど |
| 時間 | 普段使わない、就寝時間など |
普段と異なる環境より「マネーフォワード ID」にログインがあったと判断した際は、自動でログインを通知するメールを配信します。
引用:マネーフォワードMEサポートサイト
マネーフォワードMEを使うなら、リスクベース認証を基準に「不正ログインされていないことを信じる」しかありません。
次に、これまでマネーフォワードが不祥事を起こしたことがあるのか?調べてみました。
マネーフォワードMEで発生した脆弱性、インシデントは?
マネーフォワードMEで発生したセキュリティの問題、脆弱性の履歴です。
脆弱性対策情報のデータベースから調べてみました。
過去2件、発生している履歴がありました。いずれもAndroidアプリ版です。
どのような脆弱性なのか?というと…
別の「悪意ある不正なアプリ」から、マネーフォワードMEを覗かれてしまうという脆弱性が、数年前に発生していたようです。
つまり、発生の頻度および現最新バージョンで確認されていないため、
現状、マネーフォワードMEのシステムにはヤバい脆弱性なし。
このように結論づけられます。
マネーフォワードMEを安全に使う3つの方法
ここまで、マネーフォワードMEのセキュリティ対策、インシデントや脆弱性がないことを説明してきました。
そうなると、次に知りたいことは、
マネーフォワードMEを、
安全に使う方法を知りたい!
これですね。
安全に使うためには、3つのことを知っておきましょう。
- 安全&使い勝手よい設定
- 使う場所による危険性
- 口座連携リスク
以下順に説明していきます。
1.セキュリティの設定をする
使い勝手を損なわず、きちんとセキュリティ設定して対策しましょう。
スマホ機種「iPhone SE2(iOS 15.5)」を例に、以下説明していきます。
スマホの紛失、盗難リスクの対策
第三者にスマホを持っていかれたとしても、マネーフォワードMEへのアクセスを防ぐ設定です。
マネーフォワードMEアプリを起動して、「設定(歯車のアイコン)」→「セキュリティ」画面まで進み、下図ご参考に設定してください。
| 項目名 | 設定値 |
|---|---|
| パスコードの設定 | オン |
| Toouch ID / Face IDを使う | オン |
| ログイン状態を保持 | オン |
| ログイン保持期間 | 任意の期間 ※筆者は30日 |
オンライン家計簿への不正アクセス対策
※マネーフォワードME「メールアドレスでログイン」している方が対象です。
それ以外の方法でログインしている方は、読み飛ばしてOKです。
オンラインの家計簿データへ、不正ログインを防ぐための設定です。
お使いのブラウザから「ユーザー情報の確認・変更」アクセスし、「二段階認証の設定」タップし設定します。
2.外出先では使わない
マネーフォワードMEを「外出先で使わないこと」推奨です。
なぜなら、外では「ショルダーハック」と呼ばれるうしろからスマホを覗き見られる「立派なサイバー攻撃」の手法があるからですね。
また公衆Wi-Fiなど、不特定多数がアクセスするWi-Fiは、通信内容を読み取られ情報が漏れるリスクが高いため、うっかりアプリを起動してしまわないように注意しましょう。
iPhoneの設定では、マネーフォワードMEアプリ「 モバイルデータ通信:オフ」にしています。
自宅Wi-Fi以外を使わない前提ですが、うっかり外出先でマネーフォワードMEアプリを起動してしまっても使えないような工夫ですね。
3.口座連携リスクを知っておく
マネーフォワードは「口座連携はログイン情報のみで安全です!」など示していますが、
安全性を示す根拠にはなりません。
なぜなら、万が一にもマネーフォワードMEからログイン情報が漏れた場合、口座連携以外のサービスに不正アクセスできてしまうからです。
楽天サービスを例に説明してきます。
※なぜ「楽天」をやり玉に挙げるのか?別記事が参考になります。
-
楽天カードは危ない?【安全性】情報セキュリティ3つの観点で解説
続きを見る
楽天サービスであれば、わざわざ「楽天市場」「楽天モバイル」とは異なる楽天ユーザIDを使っている方がいるとは考えにくいですよね。
そのため、もしログイン情報が漏れてしまうと、楽天会員情報から個人情報がバレたり、勝手に楽天市場で買い物されるなどの被害を被ることでしょう。
つまり、「パスワードのみ」でログインできてしまう金融機関サービスは、超危険です。
もし該当する金融機関をお使いの方は、そもそも「パスワードログインのみで入出金できる金融機関にお金を預けるリスク」知っていただいたうえで、他の金融機関サービスへの切り替えをご検討ください。
-
マネーフォワードME【口座連携の危険性】安全な金融機関おすすめ
続きを見る
まとめ
マネーフォワードの安全性について、情報セキュリティ観点から解説しました。
金融機関と同じセキュリティ対策を講じており、過去インシデント・脆弱性の事例もありません。
よって、「極めて安全性の高いサービスである」このように評価できます。
ですが、利用する側が「金庫の鍵を開けた状態」では、せっかくのセキュリティ対策も水の泡です。
マネーフォワードMEアプリのセキュリティ設定だけでなく、使う場所にも注意しましょう。
▼ マネーフォワードMEプレミアム【無料化】する方法
無料化3ステップ
- マネーフォワードME 使いはじめる
- 固定費の見直し → LINEMO契約 *1
- 無料クーポン登録で無料化! *2
*1・・・LINEMO新規契約、または乗り換え契約のみ対象
*2・・・クーポン配布はLINEMO申込後、翌々月の下旬頃
詳しくは公式サイト 配布方法について教えてください あたりをご参照ください。
ME30日ロードマップ
--- PR ---
