SMBC三井住友銀行が流出認める:艦これ発端で発覚したGitHub経由のコード流出

1月28日夜からTwitterで大きな騒ぎになっていたSMBC・三井住友銀行のコード流出騒ぎは、GitHubアカウントに自分が書いたと思われる企業のプログラムのコードをアップしていたことが原因でした。艦隊これくしょんというゲームにまつわる諍いから、過去のツイートが見られて発見されたものです。

発端は艦これ有名配信者・きぃのん氏と「S氏」の諍い

艦隊これくしょんは約8年前から続く人気ゲームです。最近ではゲーム運営側の問題もあってユーザーが離れがちで、残ったファンの間でSNS上の諍い・論争が絶えない状態でした。(この部分、事件と関係ないだろうとのご指摘を頂戴しました。そのとおりです。すみません)

そんな中、艦これのゲーム配信最大手である「きぃのん」 氏と今回の流出のきっかけとなったS氏がTwitterで論争となります(筆者はきぃのん氏の配信のリスナーです)。煽り合う中で、きぃのん氏の配信のリスナーがS氏の過去のTweetを調査し、S氏のGitHubアカウントを発見します。これを見た同じリスナーの「なぎ」氏 がGitHubに上がっているコードを見たところ「smbc」の文字があることがわかったのです。

そこには68本のプログラムのコード・断片があり、一部にSMBCという文字、NTTデータの名前、また警察関連のデータベースの変数定義と思われるものがありました(88本のうち20本強は自作の練習用。なぎ氏による。15時47分追記)

SMBC三井住友銀行が本物だと認める

当初は本物なのか、本物だとしても認めるのかが問題でしたが、29日14時30分にSMBC・三井住友銀行は日経クロステックのインタビューで以下のように答えました。

「当行が利用しているシステムのソースコードが公開されていたのは事実。顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み」(広報部)

SMBCが認めました。基幹系などの重要なものではない上に、6年以上前のものですので致命的とは言えないでしょう。しかしながら三井住友銀行のコードが委託先経由で流出していることは確かなこと。この他にもNTTデータ、警察関連のものと思われるコードがあるため、大きな問題となりそうです。

年収診断サービスがきっかけとなった模様

これらのファイルはS氏が2021年1月7日にGitHubに上げたものです。なぜ上げたのでしょうか。S氏は自身のツイッターで「年収診断サービスにアップするためにGitHubに登録した」と発言しています(現在は削除されています)。

年収診断サービスがあるのは「Findy」というエンジニア向けの転職支援サイト。GitHubにアップしたコードを読み込み、そのコードを分析してスキルを診断して年収を出すというサービスがサイト内にあります。

このサービスを利用するために、S氏は自分が書いたコードをアップしたとTwitterで発言しています。これについて筆者はS氏に「アップしたのはすべて自分が書いたものか?」とTwitterで聞いてみましたが、残念ながら返答はありませんでした。

今後焦点となる問題点

今後さらに問題は拡大する可能性があります。

●他社が認めるかどうか

警察関連と思わるコードには「入墨の有無」とも書かれた変数の定義もあります。これを認めるかどうかも焦点でしょう。またコードの断片からNTTデータなどの企業が含まれている可能性があるので、早急に調査する必要がありそうです。

●再委託先の問題

プログラムは委託先に依頼するわけですが、実際には再委託が何度も行われている実態があります。三次受け、四次受けにもなることがあり、その管理ができるかどうかということも今後問題になります。きちんとした費用が払われているか、などのコスト・待遇の問題も重要です。

●GitHubが社内制限になると大きな問題に

いまやGitHubはインフラであり、なしで仕事が進みません。しかし今回の事件で、トップが安易に「GitHubは危険だからやめろ」「うちのが上がってないか総点検しろ」などと言ってくる可能性があります。そうなると仕事がストップしますから重大です。

今回の事件は、S氏がコードをあげたことが問題ではありますが、それ以上に企業のシステム開発の問題がクローズアップされることになりそうです。