ビジネスニュース+

【社会】 GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 2021/01/29

1 : 朝一から閉店までφ ★2021/01/29(金) 14:39:15 ID: CAP_USER.net
玄 忠雄 日経クロステック/日経コンピュータ
2021.01.29

 三井住友銀行(SMBC)が行内で使っている業務システムのソースコードの一部が流出していたことが2021年1月29日、明らかになった。Twitterなどのソーシャルメディアで、2021年1月28日の夜ごろから流出の可能性が指摘されていた。三井住友銀行が1月29日に事実関係を調査し、行内システムのソースコードの一部と一致したことを確認した。

 一部のソースコードが公開されていたのは米ギットハブが運営する「GitHub」。日本在住で三井住友銀行のシステム開発に関係した人物が投稿した可能性が浮上している。三井住友銀行は日経クロステックの取材に対し、「当行が利用しているシステムのソースコードが公開されていたのは事実。顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み」(広報部)と説明している。

 三井住友銀行によれば、公開されていたコードは複数ある事務支援系システムの1つに含まれるエラーチェック処理の一部という。行員が行内で使うもので、流出したコードは顧客情報などを扱わず、セキュリティーにも影響はないとしている。流出の経路は現在も調査中だが、行内からでなくシステム開発の委託先から流出したとみている。

 三井住友銀行は、流出したコードは1月29日午前の時点ではGitHub上で非公開になっているとしている。ただし非公開になる前にコードを格納したリポジトリーが複製(fork)されたと見られ、流出したとみられるコードの一部が引き続き公開中になっているものもある。

 NTTデータ子会社のNTTジェトロニクスと見られる文字列が含まれる一部コードなども公開されている。NTTデータが「当社グループが開発に関わったコードかどうかを確認中」(広報部)だ。

 流出が起きたのは、ソーシャルゲームサービス「艦隊これくしょん-艦これ-」をめぐる、Twitter上などでの口論からと見られている。流出に関わった可能性がある人物のTwitterのアカウントは現在、すべての投稿が一般ユーザーには非公開の状態になっている。

ID: BaaBVInc.net
>>1
見事な奴隷だ
人件費が30年変わらない国の日本
そこのあなた、褒められたと思ってませんか?
欧米はもちろん新興国からも異常な目で見られてます
ID:
>>1
まぁそうだろうな
他愛もない部分だからwww

そんな大事な部分を彼にやらせるはずがない
よな
ID: hcsvrdiE.net
>>1
やはりギフハブは恐ろしいな
ID: OFpu3rgp.net
>>1
>流出が起きたのは、ソーシャルゲームサービス「艦隊これくしょん-艦これ-」をめぐる、Twitter上などでの口論からと見られている

艦これアニヲタ三井住友ギフファフ
ID: JIVMcEmi.net
>>1
お祭り気分でリポジトリをforkした人たちも
流出元の艦これユーザ同様に
法的に面倒なことになりそうですよね…
自分からトラブルに突入していく意気やよし?
ID: CGk3aUom.net
>>1
利用者にはどういう影響あるんだ?
2 : 名刺は切らしておりまして2021/01/29(金) 14:46:26 ID: SZKcEU/K.net
githubの禁止じゃなくて年収300万で雇うことを禁止にしたほうがいい
ID: KHI3GSxa.net
>>2
「勤続20年で年収300万円」は派遣プログラマーだからな
派遣会社が凄まじい搾取をしてんだろ
ID: u85KADOh.net
>>2
派遣屋の搾取が酷すぎんだよ
ピンハネ率欧米では規制してんのに
日本はしてないからな
1000万位で取ってきて700位抜いてんだろ
ID: Qdg0ty4g.net
>>2
年収300万のやつはみんな首でかわいそう

生活保護ですかぁ???
3 : 名刺は切らしておりまして2021/01/29(金) 14:48:30 ID: XuU4KVm+.net
さすがに日銀ネットは伏せたか
4 : 名刺は切らしておりまして2021/01/29(金) 14:52:53 ID: vAOrCJj9.net
うんコードかどうかが問題だ
5 : 名刺は切らしておりまして2021/01/29(金) 15:01:55 ID: ZLu+3cW3.net
漫画家さんが編集者からの高級料理店へのお誘いを断ったら叱られてしまった→一見無駄にみえることが持つ重要性に気づいた話

6 : 名刺は切らしておりまして2021/01/29(金) 15:02:22 ID: Quuk+wQ3.net
チラ見した限りFTPClientとかだから別にどうってことはない気がするが
んなものjavaでやる意味が分からんな
10 : 名刺は切らしておりまして2021/01/29(金) 15:10:48 ID: WVRYJkPx.net
コピーライトが無くて業務と直接関係ないロジックなら、
「漏洩?作者が同じ何だから同じようなコードになって当然じゃないですかw」
とか反論の余地もあるが、会社名入ったままじゃそりゃ燃えるしか無いわ。
12 : 名刺は切らしておりまして2021/01/29(金) 15:13:27 ID: uBT+GyC0.net
三井住友は優秀な人材がだぶついてるだろうからプログラマーに転向させればいい
プログラムを内製することでセキュリティを確保すべき
13 : 名刺は切らしておりまして2021/01/29(金) 15:13:43 ID:
>>1
まぁそうだろうな
他愛もない部分だからwww

そんな大事な部分を彼にやらせるはずがない
よな
ID: SvEm1Bfg.net
>>13
金融で金利計算とかが絡む箇所のシステムはガチだからなあ
レビューも厳しいから見ていて不安になるような人間は3ヶ月でサヨナラ
15 : 名刺は切らしておりまして2021/01/29(金) 15:26:31 ID: YiLlj3wE.net
俺は許すよ
19 : 名刺は切らしておりまして2021/01/29(金) 15:35:13 ID: DZwokAKK.net
三井住友のひ孫請けあたりの開発者が
三井住友の出資しているFindyにだまされ
三井住友の社内システムのソースコードを公開
22 : 名刺は切らしておりまして2021/01/29(金) 15:40:18 ID: JIVMcEmi.net
>>1
お祭り気分でリポジトリをforkした人たちも
流出元の艦これユーザ同様に
法的に面倒なことになりそうですよね…
自分からトラブルに突入していく意気やよし?
ID: x76RwrPm.net
>>22
forkしなくても、匿名でZip圧縮して落とせるくらい、知ってるよね?
24 : 名刺は切らしておりまして2021/01/29(金) 15:41:19 ID: P+t/bQp5.net
つか、研修とかやらんのかIT土方の会社の方も
ID: DZwokAKK.net
>>24
依頼主がケチだからそんな経費はかけられない
29 : 名刺は切らしておりまして2021/01/29(金) 16:06:30 ID: K8zS2Hch.net
コードがバレて破綻するようなセキュリティなわけないわな
オープンソースでもセキュリティ保ててるのに
32 : 大島栄城2021/01/29(金) 16:18:11 ID: VVyE1R0I.net
さくら銀行か、まさか安倍晋三まで繋がってないよな
34 : 名刺は切らしておりまして2021/01/29(金) 16:25:51 ID: G8Uiued+.net
ソースコードを持ち出せる状態になってるのが問題だろ

社内に協力会社を常駐させてる意味がないわ
まあ、テレワーク云々のご時世だからアレだけどな
ID: DZwokAKK.net
>>34
自分の書いた分は持ち出せるんじゃね?
38 : 名刺は切らしておりまして2021/01/29(金) 16:52:26 ID: CGk3aUom.net
>>1
利用者にはどういう影響あるんだ?
39 : 名刺は切らしておりまして2021/01/29(金) 16:53:46 ID: xGQQLoa5.net
危機感なさすぎ
43 : 2021/01/29(金) 17:37:01 ID: +fMKwBGl.net
なんか実際にTwitterで顛末を追っかけてた人が書いた記事らしいので共有しときますね。

SMBC三井住友銀行が流出認める:艦これ発端で発覚したGitHub経由のコード流出(三上洋) - 個人 - Yahoo!ニュース
48 : 名刺は切らしておりまして2021/01/29(金) 18:04:17 ID: CFm4DCrc.net
sww
51 : 大島栄城2021/01/29(金) 18:36:47 ID: VVyE1R0I.net
銀行のいいわけ聞いてると気狂いにされる
52 : 名刺は切らしておりまして2021/01/29(金) 18:40:53 ID: vrg1t/zE.net
なんだかんだ言って、エクセルが一番いい。エクセルは、面白い

オセロは・・・正直に言って・・・なんか飽きる。でも・・・
1か月ぐらいは、オセロには夢中になる時期があった。
ただ・・・それだけといえば、それだけで

やっぱ、「エクセル最高!」という結論しかなかった・・・
59 : 名刺は切らしておりまして2021/01/29(金) 19:16:22 ID: E6VDBj/U.net
IT土方は悲惨だな。SMBC本体は4年目でも700万行くのに
ID: DOQDyvu6.net
>>59
このコンプラ意識のやつがSMBC仮に雇われても新卒給与のままだろw
60 : 名刺は切らしておりまして2021/01/29(金) 19:19:30 ID: 7QyqiYFf.net
当行が利用しているシステムのソースコードが公開されていたのは事実。顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み

言い訳はいいよ

62 : 名刺は切らしておりまして2021/01/29(金) 19:29:15 ID: 0EcB8dOs.net
ソースコードチラ見したけど、おそらくこれもう使って無いモジュールだと思う。
6年前どころかもっと前に書かれたものでしょ。
基幹の勘定系には使わないサブEUCのかと。
スクラップになってると思うよ。
これを今アップしても400万円代出来る頭打ちかと。
69 : 名刺は切らしておりまして2021/01/29(金) 19:40:02 ID: uBT+GyC0.net
ここのレスを見ると、javaで書いてるのか
大規模なシステムってCの系譜につながる言語とか
レガシーが有ったらコボルとかで書いてるのかと思ってたよ
ID: 5hUJFfqH.net
>>69
IBM汎用機と接続できるWEB鯖ってWASがデフォだから
必然的にJava+WAS+DB2が多くなる
70 : 名刺は切らしておりまして2021/01/29(金) 19:46:17 ID: 8Y2VuZZa.net
ソースコードみられてセキュリティが破られるならそもそもセキュリティがなってない。
世の中の暗号化アルゴリズムのソースコードだって公開されてるんだぞ。
71 : 名刺は切らしておりまして2021/01/29(金) 19:48:44 ID: 8Y2VuZZa.net
ソースコードが漏れたからと言ってどうということはないが、
漏れるようなセキュリティ体制はNG。
75 : 名刺は切らしておりまして2021/01/29(金) 19:58:35 ID: DQO/qwlu.net
ぶっちゃけそう大した話でもないからな
Windowsのソースコードなんて、一体何回流出したことか
79 : 名刺は切らしておりまして2021/01/29(金) 20:23:19 ID: BMQA5C/P.net
Github に上がる COBOL のコード・・・
81 : 名刺は切らしておりまして2021/01/29(金) 20:38:07 ID: vkY+7fve.net
ソーシャル閉じて貝になったかw
87 : 名刺は切らしておりまして2021/01/29(金) 21:05:40 ID: Jg4VUTR9.net
メガバンクで運用中のソースコードが公開されるとか前代未聞で異常事態もいいとこなんだけどw
88 : 名刺は切らしておりまして2021/01/29(金) 21:15:18 ID: k4b+t6KV.net
責任はどこ?それが決まってないのにやりだすのはおかしな話
94 : 名刺は切らしておりまして2021/01/29(金) 22:27:43 ID: uveYDiKO.net
どうって事ないでしょ
ソースの流出なんて時々おきるもの
俺が働いてた現場でも流出したよ
97 : 名刺は切らしておりまして2021/01/29(金) 23:46:56 ID: S4NPdJH3.net
>>84
労基なりから怒られる可能性はあるが
制作物の権利には関係ない
ID: AERPRe3u.net
>>97
あるよ
違法な状態での結ばれた契約は無効であるという大原則あるし
NDAを結んでなかったとツイートしてるので銀行側は何もできない
できるのは銀行が依頼した開発会社へのクレームだけね
111 : 名刺は切らしておりまして2021/01/30(土) 06:46:00 ID: RxUdG4Up.net
岐阜ハブ?
113 : 名刺は切らしておりまして2021/01/30(土) 08:15:25 ID: AIUiXr8q.net
今回はたまたま大したコードじゃなかったけど、三井住友はシステムのソースコードを簡単に持ち出せるザルセキュリティってことを世に知らしめてしまった。
ID: cWgZlhUc.net
>>113
持ち出してはいないだろ、本人が書いたコードなんだから
ID: 8sV/hPAR.net
>>113
逆だろ
外注先から調達してSMBC側が持ち込んでる関係
119 : 名刺は切らしておりまして2021/01/30(土) 10:18:56 ID: mrIiO4/8.net
SMBC社員 えっ…300万円?こき使っちゃったよ💧
121 : 名刺は切らしておりまして2021/01/30(土) 10:32:53 ID: y+10FulP.net
>>36
COBOLの代替が必要なのはわかる
そこでjavaにする意味がわからないw
122 : 名刺は切らしておりまして2021/01/30(土) 10:42:44 ID: nO9QGNV/.net
>顧客情報の流出はなく
流出とか軽く考えてるな、そのうち顧客情報の書き換えとかできそうだけど
128 : 名刺は切らしておりまして2021/01/30(土) 13:48:53 ID: 8sV/hPAR.net
>>127
800万くらい出して家族を持てるようにしてやるとだいぶ違うぞ

引用元:https://anago.2ch.sc/test/read.cgi/bizplus/1611898755/l1000

関連記事

COMMENT

メールアドレスが公開されることはありません。