YouTube動画台本

【YouTube台本】SMBC ソースコード流出

 

SMBCのソフトウェアのソースコードが流出するという悲しいニュースがおきました。

このニュースについて解説していきます。

結論

恨みを買ってはいけない。

 

事件についてのニュース記事から

IT Media

三井住友銀行(SMBC)は1月29日、同行のシステムに関連するソースコードが外部のWebサイト上に無断で公開されていたと明らかにした。委託先の企業に勤務するSE(システムエンジニア)から流出したとみられるものの、顧客情報の流出はなく、セキュリティに影響はないとしている。

委託先のSEとみられる人物が、自身の書いたソースコードから年収を診断できるWebサービスを利用するため、SMBCなどから委託を受けて開発したコードをソースコード共有サービス「GitHub」に公開したのが原因。

ソースコードを公開した人物は自身のTwitterアカウントで「転職の準備のために現在あるコードを全てアップした」と説明。委託されて開発したコードが含まれていた理由については「分からない」としている。「関係各所に多大なご迷惑をおかけしたことを深く反省いたします」と謝罪するツイートも投稿していたが、現在は非公開アカウントになっている。

GitHub上に一時公開されたソースコード群からは、SMBCの他にもNTTデータ ジェトロニクスやNEC、警察の暴力団対策に関連すると思われる記述が見つかった。

ソースコードの公開を巡り、Twitter上では28日深夜から「GitHub」「SMBC」がトレンド入りするなど、ITエンジニアなどを中心に話題を集めている。

 

Yahoo Newsより

発端は艦これ有名配信者・きぃのん氏と「S氏」の諍い

艦隊これくしょんは約8年前から続く人気ゲームです。最近ではゲーム運営側の問題もあってユーザーが離れがちで、残ったファンの間でSNS上の諍い・論争が絶えない状態でした。(この部分、事件と関係ないだろうとのご指摘を頂戴しました。そのとおりです。すみません)

そんな中、艦これのゲーム配信最大手である「きぃのん」 氏と今回の流出のきっかけとなったS氏がTwitterで論争となります(筆者はきぃのん氏の配信のリスナーです)。煽り合う中で、きぃのん氏の配信のリスナーがS氏の過去のTweetを調査し、S氏のGitHubアカウントを発見します。これを見た同じリスナーの「なぎ」氏 がGitHubに上がっているコードを見たところ「smbc」の文字があることがわかったのです。

そこには68本のプログラムのコード・断片があり、一部にSMBCという文字、NTTデータの名前、また警察関連のデータベースの変数定義と思われるものがありました(88本のうち20本強は自作の練習用。なぎ氏による。15時47分追記)

SMBC三井住友銀行が本物だと認める

当初は本物なのか、本物だとしても認めるのかが問題でしたが、29日14時30分にSMBC・三井住友銀行は日経クロステックのインタビューで以下のように答えました。

GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」

ソースコードが漏れると何が問題なの?

  • アクセス情報があると、サーバーに不正アクセスされる。
  • ソースコードから脆弱性を見つけて、攻撃される

セブン&アイ・ホールディングスが提供するスマホアプリ「オムニ7アプリ」のソースコードが流出した。2019年7月 XTECHより

今回は事務系システムのもので、勘定系ではないので私たちの預金がどうこうされるリスクはないだろう。

 

 

GitHubって何?

  • ソフトウェア開発でのバージョン管理
  • 変更履歴が確認できる

別画面にSourceTreeを見せる

 

技術的にはどうすればよかったのか?

  • Privateリポジトリにする

今回はPublicになっていたのが原因

 

まぁ、そもそも論で

会社のソースコードを公開するな

 

 

流出させた技術者は45歳年収300万

  • ひどいお賃金なんだけど。こういうことがあると、300万が適正なのかな。
  • だいたい正社員プログラマだと500-550万ぐらいが平均なんじゃないでしょうか
  • やばいよなって本人が身の振り方を考えた時におきた時に悲劇が起きた。。

この人は故意にやったわけじゃなくて、転職の為に年収診断しようとしてGitHubに公開してしまったことで起きた悲劇。

会社のソースコードがまじらなかったら問題なかった話。

 

 

これから多重下請け構造での開発規制が強まりそう

 


そうだなって思いました。

そういう案件にできるエンジニアはさらに参画したくなって、

できるエンジニアが集まらなくなりそうです。

漏らした方に言いたいこと

休んでください。3ヶ月もすれば日常に戻ります。

命よりは全然軽いので大したことないです。

SMBCのひとは強く生きてください。

エンジニアを一旦休んじゃうのも良いです。

3ヶ月もすれば日常に戻ります。

改めて結論

 

ネットで争いあうのは辞めた方が良い。

恨みを買わない

技術的によくわかっていないものを安易につかわない。使うのは良いけどリスクを考える。

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)