SMBCのソフトウェアのソースコードが流出するという悲しいニュースがおきました。
このニュースについて解説していきます。
もくじ
結論
恨みを買ってはいけない。
事件についてのニュース記事から
IT Media
三井住友銀行(SMBC)は1月29日、同行のシステムに関連するソースコードが外部のWebサイト上に無断で公開されていたと明らかにした。委託先の企業に勤務するSE(システムエンジニア)から流出したとみられるものの、顧客情報の流出はなく、セキュリティに影響はないとしている。
委託先のSEとみられる人物が、自身の書いたソースコードから年収を診断できるWebサービスを利用するため、SMBCなどから委託を受けて開発したコードをソースコード共有サービス「GitHub」に公開したのが原因。
ソースコードを公開した人物は自身のTwitterアカウントで「転職の準備のために現在あるコードを全てアップした」と説明。委託されて開発したコードが含まれていた理由については「分からない」としている。「関係各所に多大なご迷惑をおかけしたことを深く反省いたします」と謝罪するツイートも投稿していたが、現在は非公開アカウントになっている。
GitHub上に一時公開されたソースコード群からは、SMBCの他にもNTTデータ ジェトロニクスやNEC、警察の暴力団対策に関連すると思われる記述が見つかった。
ソースコードの公開を巡り、Twitter上では28日深夜から「GitHub」「SMBC」がトレンド入りするなど、ITエンジニアなどを中心に話題を集めている。
Yahoo Newsより
発端は艦これ有名配信者・きぃのん氏と「S氏」の諍い
艦隊これくしょんは約8年前から続く人気ゲームです。
最近ではゲーム運営側の問題もあってユーザーが離れがちで、残ったファンの間でSNS上の諍い・論争が絶えない状態でした。(この部分、事件と関係ないだろうとのご指摘を頂戴しました。そのとおりです。すみません)そんな中、艦これのゲーム配信最大手である「きぃのん」 氏と今回の流出のきっかけとなったS氏がTwitterで論争となります(筆者はきぃのん氏の配信のリスナーです)。煽り合う中で、きぃのん氏の配信のリスナーがS氏の過去のTweetを調査し、S氏のGitHubアカウントを発見します。これを見た同じリスナーの「なぎ」氏 がGitHubに上がっているコードを見たところ「smbc」の文字があることがわかったのです。
そこには68本のプログラムのコード・断片があり、一部にSMBCという文字、NTTデータの名前、また警察関連のデータベースの変数定義と思われるものがありました(88本のうち20本強は自作の練習用。なぎ氏による。15時47分追記)
SMBC三井住友銀行が本物だと認める
当初は本物なのか、本物だとしても認めるのかが問題でしたが、29日14時30分にSMBC・三井住友銀行は日経クロステックのインタビューで以下のように答えました。
GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」
ソースコードが漏れると何が問題なの?
- アクセス情報があると、サーバーに不正アクセスされる。
- ソースコードから脆弱性を見つけて、攻撃される
セブン&アイ・ホールディングスが提供するスマホアプリ「オムニ7アプリ」のソースコードが流出した。2019年7月 XTECHより
今回は事務系システムのもので、勘定系ではないので私たちの預金がどうこうされるリスクはないだろう。
GitHubって何?
- ソフトウェア開発でのバージョン管理
- 変更履歴が確認できる
別画面にSourceTreeを見せる
技術的にはどうすればよかったのか?
- Privateリポジトリにする
今回はPublicになっていたのが原因
まぁ、そもそも論で
会社のソースコードを公開するな
流出させた技術者は45歳年収300万
- ひどいお賃金なんだけど。こういうことがあると、300万が適正なのかな。
- だいたい正社員プログラマだと500-550万ぐらいが平均なんじゃないでしょうか
- やばいよなって本人が身の振り方を考えた時におきた時に悲劇が起きた。。
この人は故意にやったわけじゃなくて、転職の為に年収診断しようとしてGitHubに公開してしまったことで起きた悲劇。
会社のソースコードがまじらなかったら問題なかった話。
これから多重下請け構造での開発規制が強まりそう
1~2年後に金融系の大規模開発案件は「ジュニア・未経験が入りやすくなる現象」が発生するかもしれません。
今回の銀行のソースコード流出の件で、SIerの下での金融系の案件では細かいルールが増える
⇒できる人が案件に応募しなくなるスキルは低いが年数は長い人+新人のチーム提案が増えそうです。
— IT菩薩@モロー(毛呂 淳一朗) (@Morow99956707) January 29, 2021
そうだなって思いました。
そういう案件にできるエンジニアはさらに参画したくなって、
できるエンジニアが集まらなくなりそうです。
漏らした方に言いたいこと
休んでください。3ヶ月もすれば日常に戻ります。
命よりは全然軽いので大したことないです。
SMBCのひとは強く生きてください。
エンジニアを一旦休んじゃうのも良いです。
3ヶ月もすれば日常に戻ります。
改めて結論
ネットで争いあうのは辞めた方が良い。
恨みを買わない
技術的によくわかっていないものを安易につかわない。使うのは良いけどリスクを考える。
関連記事 - More from my site -
【非公開】業種特化型ポータル
AWS Lambda Python編
Linux Asterisk+Cloco Cloud Sip Trunk2資料- AWS EC2 PHP Fatal error: Uncaught Error: Class ‘Imagick’ not found
Cisco よく使うshow系コマンド
フーリエ級数展開
IDリクワイアド![【YouTube】Go Toキャンペーン 正気か?[工事中]](https://www.yuulinux.tokyo/contents/wp-content/plugins/wordpress-23-related-posts-plugin/static/thumbs/15.jpg)
【YouTube】Go Toキャンペーン 正気か?[工事中]
AWS CloudWatch+SNS+Lambda+Serverless Framework+Chatwork API
2021H1 成果発表資料
Vuls 本番をスキャン出来ない時にパッケージを再現する![Apache2.4 [authz_core:error] [pid 18037] [client 127.0.0.1:xxxx] AHyyyy: client denied by server configuration:](https://www.yuulinux.tokyo/contents/wp-content/plugins/wordpress-23-related-posts-plugin/static/thumbs/13.jpg)
Apache2.4 [authz_core:error] [pid 18037] [client 127.0.0.1:xxxx] AHyyyy: client denied by server configuration:
PHP 選択ソート Selection Sort
Laravel ミドルウェアの使いどころ