スポンサーリンク

【社会】 GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 2021/01/29 [朝一から閉店までφ★]

スポンサーリンク
スポンサーリンク
スポンサーリンク
スポンサーリンク

1 :朝一から閉店までφ ★:2021/01/29(金) 14:39:15.87 ID:CAP_USER.net
玄 忠雄 日経クロステック/日経コンピュータ
2021.01.29

 三井住友銀行(SMBC)が行内で使っている業務システムのソースコードの一部が流出していたことが2021年1月29日、明らかになった。Twitterなどのソーシャルメディアで、2021年1月28日の夜ごろから流出の可能性が指摘されていた。三井住友銀行が1月29日に事実関係を調査し、行内システムのソースコードの一部と一致したことを確認した。

 一部のソースコードが公開されていたのは米ギットハブが運営する「GitHub」。日本在住で三井住友銀行のシステム開発に関係した人物が投稿した可能性が浮上している。三井住友銀行は日経クロステックの取材に対し、「当行が利用しているシステムのソースコードが公開されていたのは事実。顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み」(広報部)と説明している。

 三井住友銀行によれば、公開されていたコードは複数ある事務支援系システムの1つに含まれるエラーチェック処理の一部という。行員が行内で使うもので、流出したコードは顧客情報などを扱わず、セキュリティーにも影響はないとしている。流出の経路は現在も調査中だが、行内からでなくシステム開発の委託先から流出したとみている。

 三井住友銀行は、流出したコードは1月29日午前の時点ではGitHub上で非公開になっているとしている。ただし非公開になる前にコードを格納したリポジトリーが複製(fork)されたと見られ、流出したとみられるコードの一部が引き続き公開中になっているものもある。

 NTTデータ子会社のNTTジェトロニクスと見られる文字列が含まれる一部コードなども公開されている。NTTデータが「当社グループが開発に関わったコードかどうかを確認中」(広報部)だ。

 流出が起きたのは、ソーシャルゲームサービス「艦隊これくしょん-艦これ-」をめぐる、Twitter上などでの口論からと見られている。流出に関わった可能性がある人物のTwitterのアカウントは現在、すべての投稿が一般ユーザーには非公開の状態になっている。

https://xtech.nikkei.com/atcl/nxt/news/18/09551/

159 :名刺は切らしておりまして:2021/02/04(木) 17:43:09.43 ID:WoALIDQy.net

違法行為上等のITでコンプラもクソもw
偽装請負、多重派遣上等なんだから、気にしないんだろ

69 :名刺は切らしておりまして:2021/01/29(金) 19:40:02.71 ID:uBT+GyC0.net

ここのレスを見ると、javaで書いてるのか
大規模なシステムってCの系譜につながる言語とか
レガシーが有ったらコボルとかで書いてるのかと思ってたよ

142 :名刺は切らしておりまして:2021/01/31(日) 10:08:43.13 ID:FS5+4VuE.net

ソースコードが流出したからといって
セキュリティ的に何が問題なのかわからない
資産とか著作権とかそちらの問題なら分かるが

コードが流出して
セキュリティインシデントが起きるなら
それはコードの質の問題だろ

まともな実装できてるなら
別にコード流出したところで
突破はできない。

49 :名刺は切らしておりまして:2021/01/29(金) 18:04:45.46 ID:pruEg67a.net

>>46
> 6年前のGithubアカウント発見

これは胸が苦しくなるな。6年前のことなんか誰も覚えていないだろうに。

157 :名刺は切らしておりまして:2021/02/02(火) 08:47:56.01 ID:qqw2o/fe.net

>>156
zitto animale
disgusting subhumanoid embarassed autistic insectoid

56 :名刺は切らしておりまして:2021/01/29(金) 19:04:56.93 ID:MMy5pbo1.net

>>1
影響がないわけないだろカス

134 :名刺は切らしておりまして:2021/01/30(土) 20:52:02.47 ID:wlCySDb7.net

>>11
> 人件費が30年変わらない国の日本

日本人労働者はこの30年間あまり進歩していないのも事実
学校教育も職場教育もあまり進歩していない
これじゃ世界から置いて行かれて当たり前

国の根幹は教育なので、教育にもっと予算を割くべきだが自民党にはその気はない

11 :名刺は切らしておりまして:2021/01/29(金) 15:12:24.47 ID:BaaBVInc.net

>>1
見事な奴隷だ
人件費が30年変わらない国の日本
そこのあなた、褒められたと思ってませんか?
欧米はもちろん新興国からも異常な目で見られてます

144 :名刺は切らしておりまして:2021/01/31(日) 10:45:11.82 ID:FS5+4VuE.net

こういういちいちセキュリティ問題に繋げるアホがいて
じゃあ使わせるのはやめようとかなるから
いつまでたっても日本のITは低生産性、低効率、低賃金、低技術力のままなんだろ

ほとんど意味の無い規制に
膨大なコストと時間を使うくらいなら
高度な技術を持つ人材を育てて
彼らに十分な賃金を出せばいい
プログラマがやった仕事を外部にアピール出来る方法を確保すればいい

156 :名刺は切らしておりまして:2021/02/02(火) 08:46:15.16 ID:RfSueGBD.net

プログラマって基本的に頭悪いからね

67 :名刺は切らしておりまして:2021/01/29(金) 19:38:57.30 ID:f48Eq9Ys.net

スパゲティーコードをさらして
笑われて無視されて、却下通知メールが
来て人生完了! お疲れ様www

22 :名刺は切らしておりまして:2021/01/29(金) 15:40:18.36 ID:JIVMcEmi.net

>>1
お祭り気分でリポジトリをforkした人たちも
流出元の艦これユーザ同様に
法的に面倒なことになりそうですよね…
自分からトラブルに突入していく意気やよし?

112 :名刺は切らしておりまして:2021/01/30(土) 08:14:01.14 ID:8zs0uwWS.net

艦これ脳だわこれ
規制すべき

52 :名刺は切らしておりまして:2021/01/29(金) 18:40:53.49 ID:vrg1t/zE.net

なんだかんだ言って、エクセルが一番いい。エクセルは、面白い

オセロは・・・正直に言って・・・なんか飽きる。でも・・・
1か月ぐらいは、オセロには夢中になる時期があった。
ただ・・・それだけといえば、それだけで

やっぱ、「エクセル最高!」という結論しかなかった・・・

125 :名刺は切らしておりまして:2021/01/30(土) 11:25:45.73 ID:8sV/hPAR.net

>>113
逆だろ
外注先から調達してSMBC側が持ち込んでる関係

147 :名刺は切らしておりまして:2021/01/31(日) 13:59:22.80 ID:UaCbmNrN.net

>142
> まともな実装できてるなら
> 別にコード流出したところで

コードサイニング用の証明書とか、シェアードアクセスキーとかを、バージョン管理
対象に含めて、チェックインしちゃったのに気付かないと、ウイルス入りやバック
ドア付きプログラムをなりすましで配布されたり、不正アクセスに使われる鴨ね。

70 :名刺は切らしておりまして:2021/01/29(金) 19:46:17.07 ID:8Y2VuZZa.net

ソースコードみられてセキュリティが破られるならそもそもセキュリティがなってない。
世の中の暗号化アルゴリズムのソースコードだって公開されてるんだぞ。

75 :名刺は切らしておりまして:2021/01/29(金) 19:58:35.16 ID:DQO/qwlu.net

ぶっちゃけそう大した話でもないからな
Windowsのソースコードなんて、一体何回流出したことか

6 :名刺は切らしておりまして:2021/01/29(金) 15:02:22.74 ID:Quuk+wQ3.net

チラ見した限りFTPClientとかだから別にどうってことはない気がするが
んなものjavaでやる意味が分からんな

23 :名刺は切らしておりまして:2021/01/29(金) 15:40:33.26 ID:P+t/bQp5.net

今頃年収300万のイキリオタクSEはどんな気持ちなのかしら

もう会社に呼ばれて詰められてるところかな?

51 :大島栄城 :2021/01/29(金) 18:36:47.97 ID:VVyE1R0I.net

銀行のいいわけ聞いてると気狂いにされる

73 :名刺は切らしておりまして:2021/01/29(金) 19:54:49.56 ID:+mrSyg19.net

公開したって誰も参考にしたくもないような酷いコードなんだろどうせ。むしろこんな酷いの恥ずかしくもなくよく出したね、的な

3 :名刺は切らしておりまして:2021/01/29(金) 14:48:30.56 ID:XuU4KVm+.net

さすがに日銀ネットは伏せたか

4 :名刺は切らしておりまして:2021/01/29(金) 14:52:53.11 ID:vAOrCJj9.net

うんコードかどうかが問題だ

100 :名刺は切らしておりまして:2021/01/30(土) 01:44:40.45 ID:AERPRe3u.net

>>97
あるよ
違法な状態での結ばれた契約は無効であるという大原則あるし
NDAを結んでなかったとツイートしてるので銀行側は何もできない
できるのは銀行が依頼した開発会社へのクレームだけね

105 :名刺は切らしておりまして:2021/01/30(土) 02:31:59.75 ID:HYN4uCGR.net

情報流出バカがソースコードを成果物として納品した事実をいまから証明できるのか
証明できたとしてなんになるのか

29 :名刺は切らしておりまして:2021/01/29(金) 16:06:30.05 ID:K8zS2Hch.net

コードがバレて破綻するようなセキュリティなわけないわな
オープンソースでもセキュリティ保ててるのに

120 :名刺は切らしておりまして:2021/01/30(土) 10:19:15.28 ID:cWgZlhUc.net

>>113
持ち出してはいないだろ、本人が書いたコードなんだから

8 :名刺は切らしておりまして:2021/01/29(金) 15:04:29.96 ID:WVRYJkPx.net

5chだからぶっちゃけるが、ソースコードをこっそり持ち帰ってることは世の中別に珍しくもない。
自分の書いたソースの他、先輩が書いた参考になりそうなコードを持ち帰ることもあろう。

…が、そういうのはあくまでこっそり、漏洩したら大事になるのは目に見えてるから
こっそり隠しておくものであって、GitHubのpublicリポジトリに
コピーライトも消さずに全アップしたとかアホすぎる。

80 :名刺は切らしておりまして:2021/01/29(金) 20:29:59.16 ID:CWulsKO2.net

COBOLなんて誰が実行できる環境持ってるん?w

76 :名刺は切らしておりまして:2021/01/29(金) 20:06:37.42 ID:bVE6gloD.net

>>65
音ズレの批判と擁護で揉めたとか見た気がするけど、プレイしてないからなんのことだかわからないw

88 :名刺は切らしておりまして:2021/01/29(金) 21:15:18.68 ID:k4b+t6KV.net

責任はどこ?それが決まってないのにやりだすのはおかしな話

101 :名刺は切らしておりまして:2021/01/30(土) 01:57:49.23 ID:Ep+56unh.net

「コロナ、お前すげーわ」現場医師が見た5つの ”新型コロナ、ここがすごい”

http://vdsyi.envitreat.biz/etGw/121804132

158 :名刺は切らしておりまして:2021/02/04(木) 10:38:51.54 ID:7ft1ab4r.net

gitバージョン管理システム自体が悪者にされつつある
GitLabを使った社内gitリポジトリを、
svn(subversion)など他のソースコードバージョン管理システムに変更と移行するための検討をしろと言われて頭を抱えている

132 :名刺は切らしておりまして:2021/01/30(土) 18:58:09.83 ID:tnyZH9Bh.net

これが漏れてもリスクじゃないのかもしれんが
こんな程度の人が関わってるシステムだと知られてしまったのがよっぽど…
そりゃあ大規模だから色々なレベルのがいるだろうけど

21 :名刺は切らしておりまして:2021/01/29(金) 15:39:04.27 ID:OFpu3rgp.net

>>13
マイナンバーのデータ淡路島で韓国人にやってもらうー

5 :名刺は切らしておりまして:2021/01/29(金) 15:01:55.13 ID:ZLu+3cW3.net

漫画家さんが編集者からの高級料理店へのお誘いを断ったら叱られてしまった→一見無駄にみえることが持つ重要性に気づいた話

http://adsyio.vasilevsky.org/Ykq/527680753

108 :名刺は切らしておりまして:2021/01/30(土) 03:11:15.38 ID:HYN4uCGR.net

情報流出バカはもう潰れたらしい孫請け業者に成果物を納品したのであって、SMBCではない。もしかしたら雇用契約書or就業規則or業務委託契約書に書いてあるのかもしれないが、孫請け業者がもうないのに確認のしようがない。

150 :名刺は切らしておりまして:2021/02/01(月) 08:38:54.28 ID:wqZBAQNy.net

>>6
その意味わからんがマジで現場に起きている
ネット禁止、OSS禁止で外部ライブラリをリンクすることもできず、
ひたすら低品質な四角い車輪の再発明を強いられてたわ

92 :名刺は切らしておりまして:2021/01/29(金) 22:22:21.96 ID:YFkmELRd.net

>>91
もう雇ってた会社はない

99 :名刺は切らしておりまして:2021/01/29(金) 23:49:07.88 ID:S4NPdJH3.net

>>53
既に日経のサイトの記事でアングラ情報交換サイト扱いしてるわ

71 :名刺は切らしておりまして:2021/01/29(金) 19:48:44.88 ID:8Y2VuZZa.net

ソースコードが漏れたからと言ってどうということはないが、
漏れるようなセキュリティ体制はNG。

84 :名刺は切らしておりまして:2021/01/29(金) 20:46:31.54 ID:ByWxHRdH.net

>>68
多重派遣って話があるなら何もできないって話が?

104 :名刺は切らしておりまして:2021/01/30(土) 02:30:17.09 ID:UcVNxxBP.net

>>103
学生さん?
社会人でその認識だと同じような大問題起こすぞ

26 :名刺は切らしておりまして:2021/01/29(金) 15:52:37.38 ID:x76RwrPm.net

>>22
forkしなくても、匿名でZip圧縮して落とせるくらい、知ってるよね?

135 :名刺は切らしておりまして:2021/01/30(土) 21:26:40.49 ID:fxOxPc68.net

>>59
700万給与から10年以内でリストラで0円

銀行業なんて
窓口業務、融資審査業務、各種申請業務、
人手の作業を融資の最終意思決定以外
全部システム化できる

投資家から見たら斜陽業種で
規制緩和でいち早くメガバンクも行員も1/10以下

68 :名刺は切らしておりまして:2021/01/29(金) 19:39:41.81 ID:MX8r3ZM1.net

>>63
あなたの話、仮定がたくさん盛り込まれててファンタジーになってるのよ。

58 :名刺は切らしておりまして:2021/01/29(金) 19:14:40.10 ID:fArrbM3f.net

>>57
炎上からの全部経歴晒しからのGithubの垢バレからのソース流出

14 :名刺は切らしておりまして:2021/01/29(金) 15:23:01.40 ID:9jwPwvs0.net

IT土方のプロレタリア運動(テロ)w

121 :名刺は切らしておりまして:2021/01/30(土) 10:32:53.79 ID:y+10FulP.net

>>36
COBOLの代替が必要なのはわかる
そこでjavaにする意味がわからないw

コメント

タイトルとURLをコピーしました