SMBCソースコード漏洩の警鐘――サイバーセキュリティ後進国の課題
三井住友銀行のソースコードが漏洩した問題は、一個人の行いというにとどまらず、初期資本主義経済でもみられた「機械打ちこわし」運動の現代版というリスクを知らしめた。
騒動の顛末
1月28日、三井住友銀行(SMBC)のシステムに関するソースコードが外部のウェブサイトに無断で掲載されていることが発覚した。掲載したのはSMBCの委託先企業に勤めるシステムエンジニア(SE)だった。
この問題がTwitter上で炎上したため、すでに様々なところでまとめられているが、一連の騒動の主な顛末は以下の通り。
- 問題のSEがオンライン艦隊ゲーム上で韓国などに対する差別的発言を行ない、これに批判が集まった
- このSEのアカウントなどから、他の複数のユーザーが氏名、年齢、勤務先などを特定した
- その際、このSEがSMBCなどからの委託で開発したコードを、ソースコード共有サービス「GitHub」に公開していることが発覚した
- このなかにはSMBCだけでなく、同じく委託先と思われる警視庁、NTTデータなども含まれていた
- これに他のユーザーから批判が噴出するや、本人がTwitter上で理由などを説明した
- それによると、問題のSEは勤務歴20年だが年収は300万円ほどで、自分が作成したソースコードから年収を診断できるGithubのサービスを利用するために掲載したという
- 当初このSEは「知財保護法に触れていない」といった強気の書き込みを続けていたが、やがて「Github」がTwitterのトレンド1位になるなど騒ぎが大きくなると「公開がデフォルトだと気づかなかった」「関係各所にご迷惑をおかけしました」「事態の収拾に向けて法的措置の準備をしています」と発信した
- その後、アカウントは非公開になった
- 1月29日、SMBCはソースコードが公開されていたことを認めたうえで、「顧客情報やセキュリティに問題はない」と発表した
海外からのサイバーテロではない脅威
情報通信の専門家などはこの騒動の問題点として、二つのポイントを指摘している。
- どんな理由であれ、顧客のソースコードを無断で公開したこと(これによってハッキングなどが起こりやすくなる)
- このSEがSMBCなどのソースコードを持ち出せていたこと
今回、やはり情報が漏洩した警視庁は2001年に「サイバーテロ対策協議会」を発足させ、重要インフラ事業者などとともにセキュリティ対策を行なってきた。とりわけ近年では、北朝鮮、中国、ロシアなどによる組織的なサイバーテロが「新しい攻撃」となっている。
しかし、今回の一件は脅威が外部にあるとは限らないことを浮き彫りにした。
当のSEの弁明によると、「意図的に公開したわけではない」。ただし、そうだったとしても、ソースコードを持ち出せていた時点で、本人だけでなく管理側の責任も問われることになる。
サイバーテロの脅威に対して日本はデジタル後進国ともいわれ、かねてから脆弱性が指摘されてきた。今回の一件は、日本を代表するメガバンクの一つや警視庁の情報(その重要度や悪意の有無にかかわらず)までがいかに簡単に漏れるかを図らずも示した。
サイバーセキュリティ先進国を目指すなら、高度なシステムを築くだけでなく、企業ガバナンスや労働環境といったいわばアナログな部分の改善も重要になるだろう。
現代版「ラッダイト」を防ぐために
さらにこの騒動の重大な点は、現代の産業社会に対するさらなる抵抗や破壊を誘発しかねないことだ。
善い行いでもそうでなくても、人目が集まった出来事はコピーされやすい。ソースコードを持ち出せる環境があちこちにあるなら、(たとえ今回のSEがそうでなかったとしても)雇用主や顧客への不満を募らせた者が、今回の一件に触発され、通り魔的な感覚で漏洩しようとした場合、防ぐことは難しいだろう。
産業社会の基盤を確信犯的に破壊しようとする行為は、18世紀から19世紀にかけての資本主義の初期から見受けられたものだ。18世紀末、産業革命が進んでいたイギリスでは、夜ごと工場の機械を破壊する打ち壊し運動が広がった。ラッダイト運動と呼ばれたこの動きは、機械化・産業化が進むなか低所得と困窮にあえぐ労働者を中心としていた。
ラッダイト運動はむき出しの資本主義経済のもとで搾取される人々の不満が爆発したもので、当初イギリス政府は死刑を含む厳しい対応をとった。しかし、厳罰で機械打ち壊しを取り締まる限界に直面したことで、イギリス政府はその後、労働者の処遇改善に向かうことになった。
つまり、ラッダイト運動は労働運動や社会保障が発達する一つのステップになったといえる。ただし、企業資産の破壊は少なくとも現代的な言い方でいえばテロリズムに他ならない。これに限らず、世界史にはテロで動いてきた側面が拭い難い。
現代の日本に目を向ければ、様々な業界で人件費などが抑制されていることは今更いうまでもなく、労働者に占める非正規雇用の割合が先進国中、上から数えた方が早いことは、これを象徴する。情報通信産業もまた例外ではない(筆者が片足を突っ込んでいる大学業界も大きなことはいえないが)。
今回の騒動がアクシデントであったとしても、雇用環境などに不満を抱く者のなかから触発された確信犯を生まないことは、ドメスティックなサイバーテロを防ぐためだけでなく、社会全体の安定にとって欠かせない。現代版ラッダイト運動の広がりを防げるかは、サイバーセキュリティと社会保障の両面にまたがる課題といえるだろう。