三井住友銀行SMBCのシステムのソースコードがオンラインサービスGitHubに無断で公開されていたことが1月28日に発覚したようです。発覚が分かったのは、2021年1月28日で複数のユーザーから指摘を受け発覚した模様です。三井住友銀行(SMBC)はソースコードが公開されていたことについて事実と公表しました。ソースコードはSMBCの他にも68本のプログラムのコードの断片がありNTTデータ ジェトロニクスやNEC、警察の暴力団対策関連の物も見つかっているそうです。20本は自作したと思われるものもあったそうです
SMBC問題とは
ソースコードが公開されたのは無料でソースコードを共有できるオンラインサービスのGitHubに公開されていたそうです。現在は削除されソースコードは非公開になっているとのことです
GitHubとは
GitHubとはソースコードを共有できるオンラインサービスです。ソースコードとはプログラミング言語を用いて書かれるもので、コンピュータのハードウェアの機械語や仮想機械のためのバイトコードよりも、人間が読み書きするのに適しているコードです。
GitHubは、ユーザのみなさんからヒントを得て作成された開発プラットフォームです。オープンソースプロジェクトやビジネスユースまで、GitHub上にソースコードをホスティングすることで数百万人もの他の開発者と一緒にコードのレビューを行ったり、プロジェクトの管理をしながら、ソフトウェアの開発を行うことができます。
ソースコード流出の経緯
ソースコードを公開した人がSNS上で問題発言をしたことで口論になり、その結果本人の会社や名前が特定されその人の過去の言動から大手企業のソースコードを公開していることが発覚して、その中にSMBCのソースコードが含まれていることがわかったようです。ソースコードはSMBCの他にもNTTデータ ジェトロニクスやNEC、警察の暴力団対策関連の物も見つかっているそうです
SMBCソースコード流出騒動はなぜここまで広まったのか?
— 💎 赤 坂 💎 (@428_shiburin) 2021年1月28日
艦これ提督が韓国を小馬鹿にするネタを投稿
↓
咎められて小競り合いが発生
↓
口論の最中「艦これのアクティブは1000万人」などの面白発言を多数発する
↓
面白がった敵陣営に過去の言動が次々掘られる
↓
この件のまとめサイト
【三井住友銀行ソースコード流出か】艦これ提督がSMBCのソースコードをGitHubに公開した疑惑が浮上 #さぶれ https://t.co/ejaCnPJT7h
— MA-X @ B-Cat Software (@max_2608) 2021年1月28日
同じ業界で働く者として、俺だったら冷汗と震えが止まらなくて過呼吸で絶命する事案だし、そんなん絶対にやらんわ…( ゚д゚)
なぜ公開してしまったのか
公開した理由は転職する際の自身の評価額を査定するサイトを利用するため、社内で使用していたソースコードを公開したそうです。その評価額査定サイトでは本人が作ったプログラムを入力すると年収を査定してくれるようになっており、手持ちのプログラムをチェックせずに全て入力してしまったということのようです。公開されたソースコードは社内で一般的にツールとして使用されていたものようで、これによって顧客データー流出や不正サクセスに繋がる可能性は低いとみられています。三井住友銀行はソースコードが公開されていたことについて「流出したのは行内の事務系システムのプログラムの一部。顧客情報の流出やセキュリティに影響がないことを既に確認している」とコメントしています。
評価査定サイトとは
評価査定サイトとは、技術力から年収予測ができるサイトでスキル偏差値や過去の経歴を元に、想定される年収を算出することができるサイトです。スキル偏差値や年収の予測を元に、開発経験者のみが転職の相談に乘ってくれるようです!今回はその査定の為に手持ちのソースコードを入力してしまったようです。実際に査定サイトではGitHubと連携して、GitHubに入力して公開した物を元に評価を行う仕組みのようです。
艦これユーザーとは
プログラム歴20年、40代男性で年収300万円という情報が多くみられます!プログラム歴20年で年収300万円というのは決して高い数字ではなく、そのこともまた話題になっているようです
話題のSMBCのコードをGitHubにpushしてしまった年収300万の人、まだ発言残ってるな。
— かと卯 (@hiro32kato) 2021年1月28日
GitHubが何かもご理解されていないと思われる。 pic.twitter.com/lpxvC071jt
ソースコードとは
SMBCのソースコード流出で話題騒然、3分でまるわかり「GitHub」 #GitHub #情報漏洩 #ソースコード #SMBC #ITセキュリティ https://t.co/B2lRW1RBTW
— 日経クロステック IT (@nikkeibpITpro) 2021年1月29日
ソースコードはプログラミング言語を用いて書かれるものであり、各種コンピュータハードウェア(プロセッサ)のための機械語や仮想機械のための中間表現(バイトコード)よりも、人間が読み書きするのに適しているコードです。
ソースコードをコンピュータがどのように処理するかは、そのプログラミング言語の処理系によってさまざまである。与えられたソースコードをそのまま、インタプリタによって逐次的に実行する処理系もあるし、事前にソースコードをコンパイラによって機械語(またはアセンブリ言語)で書かれたオブジェクトコードに変換し、リンカによってライブラリやリソースと結合して実行可能ファイル(ロードモジュール)を生成し、オペレーティングシステムがその実行可能ファイルをメモリに読み込んでプログラムを実行するケースもある。コンパイル時に機械語には直接変換せず、いったん仮想機械向けの中間表現に変換しておき、実行時コンパイラによってプログラム実行時に環境に合わせた機械語にコンパイルする処理系もある。
設計から実装へ、というプログラミングの過程(詳細は「プログラミング (コンピュータ) 」の記事を参照)で、ソースコードを記述することを特に指してコーディングという。
ソースコードの量は通例ソフトウェアの規模に比例して増大する。ごく小規模のソフトウェアではソースコードが単一のソースファイルに収まるケースもあるが、大規模なソフトウェアでは通例機能ごとにソースコードを分類し、複数のソースファイルに分散して記述することでソースコードのメンテナンス性を確保する。ソースコードの行数をもとにソフトウェア開発プロジェクトの規模を見積もる手法も存在する。
Wikipediaより引用
どんな罪に問われるか
このように業務で知りゆる情報を公開してしまったり持ち出してしまった場合はどんな罪に問われるのでしょうか?
窃盗罪
一般的には刑法が定める窃盗罪の対象には、情報などは含まれていません。情報が記載された書類や会社のUSBメモリーで持って帰った場合は「書類」や「USBメモリー」を窃盗したという罪となるようです。自分の記憶でもちだした場合はこれに該当しないようです!
不正競争防止法違反
営業秘密に当たる情報や社内データを持ち出した場合は、不正競争防止違反に当たる場合があります。過去には会社から、情報を流出した社員が、刑事責任を問われたケースもあります。ただし「営業秘密」とは、「公然と知られていないこと」で、誰でも容易に入手できないことに該当した場合になります。一般的な社内ルールなどは当たらない場合もあります
損害賠償責任
社内データを持ち出した場合は、営業秘密ではなくとも、民法で損害賠償請求を受ける場合があります。雇用契約書などには、秘密保持条項が含まれているケースが多く、違反した場合や損害がでた場合は該当するケースがあります
※現在公開した方は弁護士と相談して対応を検討しているようです
ソースコード流出防止策
これで安心です!ソースコードの流出が無料で検知できます
