GitHubでのソースコード流出騒動 単語

GitHubでのソースコード流出騒動とは、2021年1月28日に発生したプログラムのソースコード流出事件のことである。日本のIT業界全体を震撼させ、延々と語り継がれる重大な出来事となった。

【本記事を閲覧・編集・コメントされる方へ】 本騒動の発生源となったとあるメディアミックス作品については「さぶれインパクト」の記事に記載しております。本記事およびコメント欄での言及は控えてください。

概要

2021年1月28日にS氏が、とあるメディアミックス作品についてのアンケートをTwitterに投稿。その選択肢を見たK氏が「差別と煽りが含まれている」と注意したところ、レスバトルが始まってしまった。
その応酬の中で、発端となった作品内外の香ばしい発言が続出。たちまちSNSやネット掲示板で話題となり、S氏はどんな人なのかと過去の数々の差別的な投稿が掘り返され、ついでに本名などの個人情報も暴かれていく。

その過程で、GitHubに自作のコードを投稿すると、おおよその見積もり年収査定診断をする転職サイトのサービスを利用していたことが判明。
ソースコードはだれでも閲覧できる状態であり、これまで業務で引き受けたことがある企業や組織のソースコードの一部が垂れ流し状態となっていた。

その段階ではデータが本物かどうか確認できていなかったものの、普通の人は使うことがないコピーライトマークが見つかる、「SMBC」という銀行を表す単語が見つかるなど、嫌な予感しかないものであったことから、K氏は削除などの対応を促す。しかし、S氏が拒否。

それを受けてK氏が「ソースコードとみられるものが流出している」と情報拡散を始める。その時点で騒ぎを聞きつけて集まってきた界隈内外の人々が次々とダウンロードを始めており、手遅れに近い状態になりつつあった。
しばらくして、どんどん騒動が大きくなってきたことに気づいたS氏がやっとGitHubのデータを消すなど動き出すが、もはや何もかも遅すぎた。

夜が明けて1月29日、早朝からコード流出が判明したところは緊急の対応に追われ、そうでないところも「うちの会社は大丈夫なのか」と委託先への確認作業に追われ、マスコミも大規模な情報流出として特集を組んで報じるなど、上を下への大騒ぎとなった。

問題が発覚した2021年1月29日のツイッタートレンドの動き

• 12:00頃の様子
  • 深夜に発生したことで朝のテレビでは対応できなかったところも、昼のニュースで一斉に報じたために大騒ぎ。
• 15:00頃の様子
  • 三井住友銀行が被害を受けたことが確認され、そのニュースにより「SMBC」が順位を上げている。
• Twitter | #トレンドチャート | 2021年1月29日(金)（YouTube）
• Twitter | #トレンドランキング | 2021年1月29日(金)（YouTube）
  • 17:25頃、累積ツイート数に基づいて算出されるチャートで「GitHub」「SMBC」「ソースコード」「年収300万」「情報漏洩」と関連キーワードがトップを独占。だいぶ下の方になるが「年収診断」というキーワードも見える。
    発端となったメディアミックス作品名についてはツイート数こそ少なくチャートには載っていないが、瞬間風速は凄かったようで、午前中はトレンドランキングの上位～中盤を行き来していた。しかし、一般的に見ればそれほど重要なことではないことが判明したため午後には順位を下げている。

被害を受けたことが確認されている企業・組織

• 三井住友銀行
• NTTデータジェトロニクス（現：NTTデータルウィーブ）
• 日本電気（NEC）
• 埼玉県警察
• コア

反応、まとめ、メディア等

業界団体

• GitHubに関する対応とお願い（一般社団法人コンピュータソフトウェア協会）
• GitHub等の外部クラウドサービス利用に関する対応とお願い（一般社団法人 日本IT団体連盟）

メディア

• 大手銀などのプログラム、ネット投稿　外注先の関係者か（朝日新聞）
• 三井住友銀、システムのコードが流出　顧客情報漏洩なし（日本経済新聞）
• ソースコード流出問題　「孫請け」文化、技術者管理の壁（日本経済新聞）
• Githubが危険ではなくセキュリティ設計が大事--業界団体が声明（ZDNet Japan）
• ソースコード流出事件、原因はモラルの欠如　GitHubをもっと使え（日経ビジネス）
• GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」（日経クロステック）
• SMBCに続きNTTデータも被害を確認、広がるGitHub上のコード流出問題（日経クロステック）
• GitHub上のソースコード流出問題の被害は5社に、NECとコアも確認（日経クロステック）
• 三井住友銀行などのソースコードが流出　“年収診断”したさにGitHubに公開か【追記あり】（ITmedia NEWS）
• NECもソースコード流出を確認、GitHubで　三井住友銀、NTTデータに続き（ITmedia NEWS）
• GitHubへのソースコード流出問題、防ぎようはあるのか　専門家に聞く（ITmedia NEWS）
• 三井住友銀のソースコード流出、埼玉県は関係なし　県庁所在地が含まれていただけ　県が調査【追記あり】（ITmedia NEWS）
• 「GitHub禁止は解決にならない」「過度にリスク面だけ注目しないで」　IT連が声明（ITmedia NEWS）
• GitHubは悪者か？　SMBCのソースコード流出から学ぶ、情報漏えいのリスク（ITmedia エンタープライズ）
• 漏えいは嫌いになってもGitHubは禁止にしないで！　技術者らの懇願をCSAJが代弁（ITmedia エンタープライズ）
• SMBC三井住友銀行が流出認める：（とあるメディアミックス作品名）発端で発覚したGitHub経由のコード流出（Yahoo!ニュース）
• SMBCソースコード漏洩の警鐘――サイバーセキュリティ後進国の課題（Yahoo!ニュース）
• SMBCのソースコード流出で考える「自覚の無い情報漏洩」。企業が認識すべき新たなリスク。（Yahoo!ニュース）
• SMBCソースコード流出問題、ガンダムに例えた例が秀逸と話題に（秒刊SUNDAY）

その他

• 45歳プログラマーさん、警察庁とNTTとSMBCのソースコードを世界に無償公開してしまう
• 【ソシャゲ事件簿：CASE232】ソースコード流出事件（とあるメディアミックス作品）（YouTube）
• 【ひろゆき】SMBCソースコード流出事件に震えるひろゆき（YouTube）

事件の展開

情報拡散したK氏なのだが、改めて記述するが本物かどうかわからない2021年1月28日の夜の段階で消すようS氏に促していた。この時に削除していれば、まだ影響は小さくできるチャンスはあった。止める前にダウンロードした方が別途アップロードすることで、イタチごっこが始まっていたかもしれないが。
しかしS氏は「なんで？ 大したことない。このコードを書いたのは自分なのだから、著作権は自分にあるはずで、どう使おうと問題はない」とまったく取り合わなかった。^[1]

「消せ」「やだ」「何か起きてからじゃマズイでしょ」「何かって何よ？」という応酬はSNSやら生放送やらで公開で行われていたため多くの方々に全部見られていた。その間、問題のソースデータはずっとオープン状態だったため、本格的に情報拡散をする前から話を聞きつけてきた人が次々と検証のためにダウンロードをして実際に「何か」が起きており、傷口はどんどん広がり続けていた。

S氏が気づいた時には収拾がつかないレベルで騒動が大きくなっており、2021年1月28日の深夜近くにGitHubのデータを消し、翌1月29日にツイッターを鍵垢にしてひきこもるがもう色々と手遅れだった。

何故このようなことをしたかと尋ねられると、問題のソースコードを作った会社に勤めている間は守秘義務を守っていたものの、退職してから既に数年経過しており、なおかつ自分が書いたコードなので著作権は自分にあるはずであり、公開しても問題がないと思ってソースコードをGitHubにアップロードしていたという。
もはや独力ではどうにもならなくなったため、弁護士に相談をしに行く。

約3か月後、ツイッターの鍵垢を解除して復活。
その間、弁護士と共に以前勤めていた会社の関係者との協議の末、窃盗罪で刑事告訴を行わない代わりに示談金700万円を支払うことで合意していた。
見方を変えれば、これで済んだからまだ良かったのかもしれない。
公開していたソースデータにシステムの根幹部分が含まれており、それが脆弱性として突かれてシステムの乗っ取りや個人情報流出などが発生していたら、700万円どころでは済まない話になっていただろう。

その後は事件および3か月間のことを紹介するツイートをしていたり、かつてレスバトルをしたK氏にクソリプを送りつけたりと軽率な行動を行っていたものの、二の舞は御免とばかりに警告が来たことで沈黙。

現在はツイッターアカウントも削除して姿を消している。

なお、S氏は職歴20年以上のプログラマー。既に閉鎖済みだがブログも特定されており、パソコン教室を開いていたことがあったものの、失敗して借金があると発言している。

本件が書籍に掲載される

git入門本の「わかばちゃんと学ぶ Git使い方入門　改訂2版」に、なんとこの騒動の注意漫画が掲載される。
GitHubにおける失敗の見本として、この上ない教材として認められたのだろう。

ポストを読み込み中です
https://twitter.com/tameguro/status/1405159982622920706

本の作者も騒動を知った直後、「頭痛い」と感想を述べている。

ポストを読み込み中です
https://twitter.com/llminatoll/status/1355004890506903554

関連項目

• GitHub
• Git
• 情報漏洩
• セキュリティ

外部リンク

• GitHub（日本語）
• ITエンジニアの年収をGitHub解析から予測可能に。OSSが年収アップにつながる時代へ。（Findyブログ）

関連商品

脚注

1. *契約内容にもよるが、通常は従業員・業務委託者等が職務として作成したプログラムであれば、会社名義で公表されなくても会社が著作者になる。下請製作された場合など会社名義で公表されることがないものや、社内用プログラムのように公表されないものもあるため。