1: 名無しさん 2021/01/29(金) 07:32:32.79
日本時間の、1月28日に三井住友銀行(SMBC)のシステムのソースコードが一部、無断で公開されている可能性が相次いで指摘されました。

無料でソースコードを共有できるオンラインサービスGitHubを通して公開されていたということですが、現在は非公開になっています。

https://www.appps.jp/356422/

トレンド入り

5: 名無しさん 2021/01/29(金) 07:38:08.40
他のスレで経緯がまとめられてた

IT土方の艦これユーザーがいた

なぜか業務で書いたプログラムコードを自宅に持ち帰ってた

「ソースコードをうpしてIT力を診断するサイト」に全うpしてツイート

銀行やNTTやその他諸々の案件のコードが満載されてた←いまここ

・内容に関わらず、プログラムコードは職場から持ち出すこと自体がアウト
・本人が解雇されるのはもちろん、下請けしていた会社が、発注元からBANされる案件

こんな感じなんだと

22: 名無しさん 2021/01/29(金) 07:53:33.45
>>5
普通に考えてBANだけじゃ済まないわな
86: 名無しさん 2021/01/29(金) 09:41:08.52
>>5
それだけに終わらなくて、ネット上から完全に該当ソースが存在しなくなった証明を求められる。
90: 名無しさん 2021/01/29(金) 09:47:16.59
>>5
SMBCとあるけど、実態は日本総研だと思うが、開発用の端末は外部に繋げないから、該当のファイルをそのまま持ち出してはないはずだから
コードをプリントアウトでもしたのだろうか
92: 名無しさん 2021/01/29(金) 09:49:17.30
>>90
テレワークのために緩くしたんじゃね?
知らんけど
11: 名無しさん 2021/01/29(金) 07:47:42.57
そのソースコードが流出すると、三井住友銀行にとってどんな不都合があるの?
14: 名無しさん 2021/01/29(金) 07:50:24.99
>>11
流出したシステムの穴を付かれて情報改竄されたり
そっくりのシステム作られたりする
89: 名無しさん 2021/01/29(金) 09:47:14.41
>>14
縁もない業界だからよくわからんけど
まるまるばらしたわけでなく
一部だけなんでしょ

ソースコードの一部だけみて悪用なんかできるもんなの?
家でいったら屋内の一部屋の家具の配置がばれた程度のもんじゃないの

94: 名無しさん 2021/01/29(金) 09:51:01.15
>>89
信用審査のロジックだったら、どういう風に頼めばとか書類に書けば一発で審査通る方法が分かったら何でも審査通せる。(極端な例です)
103: 名無しさん 2021/01/29(金) 10:13:39.81
>>89
ビール1缶飲んで運転しても大した事無いけど逮捕されるんだよ。
42: 名無しさん 2021/01/29(金) 08:31:27.74
>>11
本当に社内システムなら
外からつつけないと思う(´・ω・`)

中には入れてるなら
わざわざ社内システムの穴なんて
探す必要ないだろうし(´・ω・`)

85: 名無しさん 2021/01/29(金) 09:34:13.06
>>42
逆に考えるんだ
ソースコードの流出すら防げないようなザル管理してる無能共に本物のクラッカーの攻撃を防止できるはずもないんだと
59: 名無しさん 2021/01/29(金) 08:46:14.20
>>11
個人情報を扱ってるシステムか、そうでないかで大きく変わるね
社内の1チームでの勤怠管理システムとか、チーム間でのファイル管理システムならそんなでもないけど
銀行の口座番号と名前が紐付いた情報を取り扱うシステムならヤバイ。
DBの情報から暗号化の方法までバレる可能性がある。
さすがにサーバやDBのパスワードをコードに直書きしてるとは思えないけど、このエンジニアのレベルだとやってる可能性あるから怖い
88: 名無しさん 2021/01/29(金) 09:46:06.91
>>59
組織の勤怠、人の流れから攻撃の糸口見つけたりするもんだぜ
61: 名無しさん 2021/01/29(金) 08:49:06.76
>>11
最悪のケースは外部から銀行口座のDBにアクセスできるようになる
次のケースはSMBCのフィッシングサイトが作られまくる
かな
どちらにせよ、SMBCは改修するにせよ数千万~数億円、乗っ取られたらもっと損害出るだろうね
このエンジニアに賠償責任行くのは間違いないけど
62: 名無しさん 2021/01/29(金) 08:50:50.53
>>61
300万しか払ってない奴隷に賠償できるわけもなく
銀行の自爆だなwww
91: 名無しさん 2021/01/29(金) 09:49:11.38
>>11
流出したコードからセキュリティホールを見つけられてアタックされたらそれこそ被害甚大
13: 名無しさん 2021/01/29(金) 07:49:40.48
IT土方からランクアップしたいならスキルと実績積んでアピールするだけでいいのに
IT業界は人手不足だから若くてスキルと実績が本物なら苦労しないよ
若いうちにランクアップしとかないと年取ると土方すら出来なくなっていくけど
19: 名無しさん 2021/01/29(金) 07:52:57.07
こんな実利無いのに
雇い先のセキュリティの穴晒すやつとか
どうしようもないだろ…
29: 名無しさん 2021/01/29(金) 08:16:47.48
まあ朝に上司から呼び出されて厳重注意ってとこか
32: 名無しさん 2021/01/29(金) 08:19:26.35
>>29
普通に家に警察乗り込んでるレベルだと思うんですが…
上司?会社?
もうその人には永久に会う必要はないしその場所へは一生行く必要は無くなるよ
40: 名無しさん 2021/01/29(金) 08:27:58.81
>>32
でもこれ民事だろ?
社内規定をちょっと破ったくらいじゃ公安は動かないわ、民事不介入
73: 名無しさん 2021/01/29(金) 09:14:51.13
>>40
ふつーに窃盗罪
76: 名無しさん 2021/01/29(金) 09:16:02.19
>>73
窃盗罪は金品を奪わないと成立しない

楽天社員の逮捕も不正競争防止法違反だろ?

98: 名無しさん 2021/01/29(金) 10:00:56.19
>>76
納品物だったらソースコードでも成立する
102: 名無しさん 2021/01/29(金) 10:11:14.27
>>98
なるほどな
フロッピーの持ち出しが罪に問われた例なら出てきた
だけど情報窃盗罪がないからって
強引に既存の法律で処罰してるように見える

流出させたサブレはUSBメモリとか使ってないかもしれない

その場合は他の犯罪は成立する可能性があるが
窃盗罪は成立しないっぽいけど

104: 名無しさん 2021/01/29(金) 10:15:14.06
>>102
ソースコードに著作権(価値)があるかがグレーだった頃は媒体(プリントアウトした紙も含む)の窃盗で立件してたのよ
31: 名無しさん 2021/01/29(金) 08:19:21.77
自分で責任取れないことはやるなって話だよな
業務内でのやらかしじゃないから誰も助けてくれんぞ
会社に訴えられたらその年収じゃ無理だし、もうその業界じゃ仕事できないし
公開して良いもんかどうかも判断ついてないし、そのコードいつかどうして何の目的で持ち出したのかと突っ込みが間に合わねーよ
33: 名無しさん 2021/01/29(金) 08:19:28.93
ITなんてめんどくさいくらいセキュリティ講習やらされんのによくこんな事できるな
38: 名無しさん 2021/01/29(金) 08:23:14.61
この流出で、例えば400億円の損害が出たとして、
犯人のIT土方くんに財産が50万円しか無かったら
損害を被った企業たちはどうするの?
39: 名無しさん 2021/01/29(金) 08:25:58.32
>>38
泣き寝入りだよ
この人をぶっころしてやりたい気持ちで一杯になりながら
刑務所にぶち込んでウサ晴らすしかない
でもこういう誰かが傷ついたりしんだりした訳じゃない事件って罪としては軽いんだよな
多分普通に3年くらいで出てくる
5年以上はまずくらわない
41: 名無しさん 2021/01/29(金) 08:29:34.47
>>38
土方には支払い能力無いから派遣元が保証する
最終的には銀行側が補填する
つか個人レベルなら損害賠償の請求なんて無視し続けた方の勝ちだし

まぁ代わる代わる外部の人間を使うってリスクを理解してない銀行が悪いわな

44: 名無しさん 2021/01/29(金) 08:32:27.25
>>41
派遣元はシカトこくだけでしょ
払うわけがない
この犯罪者を紹介した責任が発生するだろと詰めても無駄だと思う
フツーにほとんど100%銀行が賠償することになると思うよ
48: 名無しさん 2021/01/29(金) 08:36:04.46
>>44
三井住友相手にシカトしたら他企業から派遣切られるんじゃない?
51: 名無しさん 2021/01/29(金) 08:38:31.56
>>48
銀行側も派遣も共生関係だからそれはあり得ん
あなたと契約しませんよとなったら銀行側も派遣を雇えなくなるから困る
そもそも派遣社員が派遣先で事件や事故起こすケースなんか
いくらでもあるが派遣会社がその個人の分まで補填したって話を聞いたことがない
93: 名無しさん 2021/01/29(金) 09:50:18.45
>>44
民法715条で派遣元の会社にも損害賠償責任を負うことが定められていることを知らんのか
47: 名無しさん 2021/01/29(金) 08:35:50.50
解雇もクソも派遣契約切られるだけ
まあ民事訴訟法待ちになるが
60: 名無しさん 2021/01/29(金) 08:46:40.81
これはこれで問題だが
他の重要な情報が持ち出されてなくて良かったな
ソースコードが持ち出されていたということは
他のデータが持ち出されている可能性もあるわけで
今調査しているのかね
64: 名無しさん 2021/01/29(金) 08:51:58.41
まだテレビではやってなさげだが
昼か夕方には発表すんのかな?
迷惑ってレベルじゃねーぞ
66: 名無しさん 2021/01/29(金) 08:55:51.62
システムぐらい内製しろよ
71: 名無しさん 2021/01/29(金) 09:06:54.71
>>66
内製したら今度は開発納期遅延とか激しそう

契約関係無いと結構グダグダになるし

引用元:https://krsw.5ch.net/test/read.cgi/ghard/1611873152/