GitHubでのソースコード流出騒動とは、2021年1月28日に発生したプログラムのソースコード流出事件のことである。日本のIT業界全体を震撼させ、延々と語り継がれる重大な出来事となった。
【本記事を閲覧・編集・コメントされる方へ】 本騒動の発生源となったとあるメディアミックス作品については「さぶれインパクト」の記事に記載しております。本記事およびコメント欄での言及は控えてください。 |
概要
システム設計図共有サイト・GitHub上に、複数の企業の組織内で使用されるシステムのソースコードが公開されていたことが発覚した事件である。
企業内部の情報資産は厳重に取り扱わなければならず、仮に顧客情報が公開されてしまったら企業が被る損害は計り知れない。また、公開されたソースからシステムの脆弱性が発覚したらサイバー攻撃の突破口として使われる可能性もある。そのため、コード流出が判明した企業は緊急の対応に追われ、そうでないところも「うちの会社は大丈夫なのか」と委託先への確認作業に追われ、マスコミも大規模な情報流出として特集を組んで報じるなど大騒ぎとなった。今回はたまたま流出範囲が軽微だったため、セキュリティに影響があったとの公表はなされていない。
流出経緯は不注意によるミスではなく、開発に携わったプログラマーが情報漏洩の自覚なく自らの意思で公開したというものであった。GitHubに自作のコードを投稿すると、おおよその見積もり年収査定診断をする転職サイトのサービス(Findyと思われる)を利用するためだったらしい。また、公開対象のコードは選別したわけではなく、手元にあった「Java」というフォルダ内のファイルをすべてアップロードしたとのこと。
ソースコードを作った会社に勤めている間は守秘義務を守っていたものの、退職してから既に数年経過しており、なおかつ自分が書いたコードなので著作権は自分にあるはずであり、公開しても問題がないと思っていたという。実際には契約内容にもよるが、通常は従業員・業務委託者等が職務として作成したプログラムであれば、会社名義で公表されなくても会社が著作者になる。
こうしたコンプライアンスのかけらもない動機により企業や経済を揺るがしかねない大事件に発展した事実、またその状態が発覚まで数年間放置されていた事実が明るみとなったことで、GitHub自体に危険性があると受け取られ「GitHub等の外部クラウドサービスを禁止する」などの過剰対応が起きないかと危惧された。これに対し、コンピュータソフトウェア協会や日本IT団体連盟は「問題があったのは情報資産の持ち出しであり、GitHub自体には問題がない」旨の声明を発表している。
事件の展開
事の重大さとは裏腹に、発覚経緯はとあるメディアミックス作品の界隈におけるどうでもいい小競り合いがきっかけであった。
2021年1月28日にS氏がとあるツイートを投稿。その内容を見たK氏が「差別と煽りが含まれている」と注意したところ、レスバトルが始まってしまった。その応酬の中でS氏による香ばしい発言が続出。たちまちSNSやネット掲示板で話題となり、S氏はどんな人なのかと過去の数々の差別的な投稿が掘り返され、ついでに本名などの個人情報も暴かれていく。
その過程で、GitHubに業務で引き受けたことがある企業や組織のソースコードの一部が垂れ流し状態となっていることが判明。普通の人は使うことがないコピーライトマークが見つかる、「SMBC」という銀行を表す単語が見つかるなど、嫌な予感しかないものであった。その段階ではデータが本物かどうか確認できていなかったものの、最悪の場合はSMBC(三井住友銀行)に口座を開設するユーザー情報がダダ漏れとなる大惨事も想定されたことから、K氏は削除などの対応を促す。しかし、S氏が拒否。
それを受けてK氏が「ソースコードとみられるものが流出している」と情報拡散を始める。その時点で騒ぎを聞きつけて集まってきた界隈内外の人々が次々とダウンロードを始めており、手遅れに近い状態になりつつあったが、この時点で削除していれば、まだ傷口は小さくできたはずである。
しかしS氏は「なんで? 大したことない。このコードを書いたのは自分なのだから、著作権は自分にあるはずで、どう使おうと問題はない」とまったく取り合わなかった。
「消せ」「やだ」「何か起きてからじゃマズイでしょ」「何かって何よ?」という応酬はSNSやら生放送やらで公開で行われていたため多くの方々に全部見られていた。その間、問題のソースデータはずっとオープン状態だったため、本格的に情報拡散をする前から話を聞きつけてきた人が次々と検証のためにダウンロードをして実際に「何か」が起きており、傷口はどんどん広がり続けていた。
S氏が気づいた時には収拾がつかないレベルで騒動が大きくなっており、1月28日の深夜近くにGitHubのデータを消し、翌1月29日にツイッターを鍵垢にしてひきこもるが、もう色々と手遅れだった。
もはや独力ではどうにもならなくなったため、弁護士に相談をしに行く。
約3か月後、ツイッターの鍵垢を解除して復活。
その間、弁護士と共に以前勤めていた会社の関係者との協議の末、窃盗罪で刑事告訴を行わない代わりに示談金700万円を支払うことで合意していた。
見方を変えれば、これで済んだからまだ良かったのかもしれない。
公開していたソースデータにシステムの根幹部分が含まれており、それが脆弱性として突かれてシステムの乗っ取りや個人情報流出などが発生していたら、700万円どころでは済まない話になっていただろう。
その後は事件および3か月間のことを紹介するツイートをしていたり、かつてレスバトルをしたK氏にクソリプを送りつけたりと軽率な行動を行っていたものの、二の舞は御免とばかりに警告が来たことで沈黙。
なお、既に閉鎖済みだがS氏はブログも特定されており、パソコン教室を開いていたことがあったものの、失敗して借金があると発言している。
問題が発覚した2021年1月29日のツイッタートレンドの動き
- 12:00頃の様子
- 15:00頃の様子
- Twitter | #トレンドチャート | 2021年1月29日(金)(YouTube)
- Twitter | #トレンドランキング | 2021年1月29日(金)(YouTube)
被害を受けたことが確認されている企業・組織
反応、まとめ、メディア等
業界団体
- GitHubに関する対応とお願い(一般社団法人コンピュータソフトウェア協会)
- GitHub等の外部クラウドサービス利用に関する対応とお願い(一般社団法人 日本IT団体連盟)
メディア
- 大手銀などのプログラム、ネット投稿 外注先の関係者か(朝日新聞)
- 三井住友銀、システムのコードが流出 顧客情報漏洩なし(日本経済新聞)
- ソースコード流出問題 「孫請け」文化、技術者管理の壁(日本経済新聞)
- Githubが危険ではなくセキュリティ設計が大事--業界団体が声明(ZDNet Japan)
- ソースコード流出事件、原因はモラルの欠如 GitHubをもっと使え(日経ビジネス)
- GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」(日経クロステック)
- SMBCに続きNTTデータも被害を確認、広がるGitHub上のコード流出問題(日経クロステック)
- GitHub上のソースコード流出問題の被害は5社に、NECとコアも確認(日経クロステック)
- 三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】(ITmedia NEWS)
- NECもソースコード流出を確認、GitHubで 三井住友銀、NTTデータに続き(ITmedia NEWS)
- GitHubへのソースコード流出問題、防ぎようはあるのか 専門家に聞く(ITmedia NEWS)
- 三井住友銀のソースコード流出、埼玉県は関係なし 県庁所在地が含まれていただけ 県が調査【追記あり】(ITmedia NEWS)
- 「GitHub禁止は解決にならない」「過度にリスク面だけ注目しないで」 IT連が声明(ITmedia NEWS)
- GitHubは悪者か? SMBCのソースコード流出から学ぶ、情報漏えいのリスク(ITmedia エンタープライズ)
- 漏えいは嫌いになってもGitHubは禁止にしないで! 技術者らの懇願をCSAJが代弁(ITmedia エンタープライズ)
- SMBC三井住友銀行が流出認める:(とあるメディアミックス作品名)発端で発覚したGitHub経由のコード流出(Yahoo!ニュース)
- SMBCソースコード漏洩の警鐘――サイバーセキュリティ後進国の課題(Yahoo!ニュース)
- SMBCのソースコード流出で考える「自覚の無い情報漏洩」。企業が認識すべき新たなリスク。(Yahoo!ニュース)
- SMBCソースコード流出問題、ガンダムに例えた例が秀逸と話題に(秒刊SUNDAY)
その他
本件が書籍に掲載される
git入門本の「わかばちゃんと学ぶ Git使い方入門 改訂2版」に、なんとこの騒動の注意漫画が掲載される。
GitHubにおける失敗の見本として、この上ない教材として認められたのだろう。
ツイートを読み込み中です
https://twitter.com/tameguro/status/1405159982622920706
ツイートを読み込み中です
https://twitter.com/llminatoll/status/1355004890506903554
関連項目
外部リンク
関連商品
- 0
- 0pt