【業界震撼】SMBCのソースコード流出事件について

おはようございます。

#KENMAYA です。

昨日衝撃的なニュースを目にしました。

【艦これ】とある艦これプレイヤーのプログラマー(@sabure320)のひょんな口論から、三井住友銀行(SMBC)のシステムソースコード流出というとんでもない機密漏洩案件が昨夜発生しましたので経緯をまとめました。

今後他の企業でも開発者による情報漏洩のモデルケースとして扱われる案件かもしれません。 pic.twitter.com/0qKG1s5r3i

— 滝沢ガレソ (@takigare3) January 29, 2021

要約しますと、
とあるTwitterユーザーが、
GitHubと呼ばれるオープンなプログラム開発環境（※）で、
三井住友銀行を含む複数の企業の内部プログラムの一部をアップロードしていた。という事実が発覚しました。

（※GitHubとは、世界中の開発者、デバッガーなど、プログラム開発に携わる人たちで構成されるオープンな開発環境であり、簡単に言えば、誰でも参加できるし、誰でも編集閲覧できるwikipediaのようなものです。）

わたしも元SIer、プログラマー、SE、システム営業を経験してきた身ですので、今回の事件について思うところをまとめてみました。

わかばちゃんと学ぶ Git使い方入門

１．ヤバすぎる動機

この件に関して、本人は「GitHubにソースコードをアップすると推定年収を計るサービスがあったので、それでアップしてみた。中身は何が入っていたかよく分からない。」と発言しており、コンプライアンスもリテラシーもクソもない状態です。

本人曰く、プログラマー歴20年で年収300万だそうなので、
正直、こんなリテラシーガバガバなやつが年収300万もよく貰えていたな…
というのがわたしの率直な感想です。

２．SMBC側からの発表

これを受けてSMBC側からも発表がありました。

GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 #ソースコード #GitHub #情報流出 #ITセキュリティ #セキュリティ総合 https://t.co/p9tfZLMp7n

— 日経クロステック IT (@nikkeibpITpro) January 29, 2021

流出を事実と認め、セキュリティーに関する重大インシデントではない。
と発表を行いました。

ログイン認証や本人確認などのコアなソースコードではなく、
恐らくユーザーインターフェースなど、ページ構成のソースコードだったのではないか、と推測できます。

しかし一部のソースコードとはいえ、銀行内部のシステムコード。
悪意のある人間からすれば、いくらでも穴をつける可能性はゼロとは言い切れません。

３．やっちゃったレベルではない

今回の流出事件は「やっちゃいました😝」で済むレベルの話ではありません。恐らくSMBC本社の人間ではないでしょうし、SMBCの下請けのシステム開発会社に派遣された派遣社員レベルでの話でしょう。

しかし、ソースコードを持ち帰っていることや、守秘義務を含めたコンプライアンス問題に発展することは間違いありません。
下請けのシステム開発会社に大規模な損害賠償請求が行く可能性、
さらにその派遣会社も責任追及からは逃れることはできないでしょう。

４．今後想定される事態

この問題は恐らく大手企業の多くが大きく反応することになるでしょう。
今まで外注で任せていたシステム開発会社に今一度、徹底した情報漏えいのリスクマネジメントを求めることになるでしょうし、
大手を含むシステム開発・受託会社全てが、社員、派遣社員に対しての再教育などにかかるコスト増など、影響は計り知れません。

ただでさえ、コロナ禍による経済停滞、それに伴うリモートワークやアウトソーシングが活発になっている今、このような由々しき事態はさらに経済に悪影響をもたらしかねません。

今後、どのような経緯を辿るのか、慎重に見極めていきたいと思いました。

ここまで読んで頂き、ありがとうございました。

Twitter、YouTubeもやってますので、よかったら見ていってください。