パスワードを忘れた? アカウント作成
15151770 story
情報漏洩

年収を査定してもらうためとして、SMBC証券の業務コードを公開していたことが発見される 246

ストーリー by nagazou
あちゃー 部門より
あるAnonymous Coward 曰く、

近年ではGitHubと連携するサービスが多々あるが、あるユーザーが「GitHubのコードで年収を査定してくれるサービスを使うため」という理由で、手元にあった会社のソースコードをそのままpublicリポジトリにアップロードして放置してしまい、それが発見されるという事件があり大騒ぎになっている(Togetter経緯のまとめっぽいツイート)。

発端となったのはゲームを巡るTwtter上での炎上事件だったようで、炎上した結果個人情報などが調べられた末に、28日夜にGitHubに会社のコピーライト表記が入ったソースコードが公開されているのが判明。慌てた周囲の人が本人に問い合わせるも「それ単体では動かない」「商用利用していない」「GitHubは非公開にした」「デフォルトで公開になるとは思ってなかった」「コードから推定年収を計算してくれるサイトを使うために、手元にあったコードをすべてアップした」「どこで作ったコードか覚えていない」「明日営業さんに聞いてみる」と全く問題を理解していない感じの返答が続いて、逆に周囲が騒然となる事態となっている。

アップロードされていたソースのコピーライトとしては、SMBCやNTTといった企業の名が挙がっている。SNS上では、本人の危機意識の無さを嘆く一方、とばっちりでGitHub禁止令が出るのではと危惧する声や、多重請や派遣が溢れるのにコンプライアンス教育が徹底できるわけがないと業界構造の問題を訴える声も上がっている。

情報元へのリンク

日経クロステックによれば、この件を受けて三井住友銀行(SMBC)は流出したコードが行内システムのソースコードの一部と一致していたことを認めているという。セキュリティーに影響を与えるものではないことは確認済みだとしている。公開されていたコードは、複数ある事務系のシステムのエラーチェックに関するものだとしている。ITmediaによると関連する流出コードに対し、コピーライトに名前の出ている関係各社は対応に追われている模様(日経クロステックITmedia)。

  • by auge (19016) on 2021年01月29日 18時25分 (#3968658)

    当該コードは数年前、古いものでは十数年前に当該者が開発現場から持ち出したものであり
    一次的には昨年から一気に普及したテレワークに起因する流出ではないようです。

    ここに返信
  • by Anonymous Coward on 2021年01月29日 18時47分 (#3968682)

    この件の影響とは断言できないけど、SIer勤めらしいよんてんごP [twitter.com]という方がこんな話も。南無。

    あ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~今回のこの件の成果は分からないけど急遽午後からセキュリティ関連の会議というか緊急お達し連絡会みたいのが入ったじゃないですか~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    本件、たった今入った情報ですが

    紆余曲折を経て、

    ・3月末まで現在の在宅リモート
    ・4月からは現場出社にしないか

    の打診が回ってきたという情報が。

    (´怒りマークω怒りマーク`)<やってくれた喃 やってくれた喃…!!

    なお現在は我々下層ではなく上層部において

    コロナ感染を恐れる総務的な部署と
    今回のセキュリティ事故を恐れる部署により

    リモート継続 vs 現場にSE全員連れてくる、の
    猛烈な綱引きが繰り広げられているらしい、、と天上界からのお告げで聞いた。

    ここに返信
  • by Anonymous Coward on 2021年01月29日 20時58分 (#3968803)

    Findy 試してみるかとおもって行ってみたら、GitHub のアカウント要求されるのな。
    なぜにアカウント連携?プライベートリポジトリの情報引っこ抜きたいの?
    それとも何かリポジトリ改変しちゃうの?

    「GitHubでアカウントを作成すると、公開リポジトリの情報からスキル解析を行います。
      プライベートリポジトリの取得、解析は一切行いませんのでご安心ください。」
    とか書いてあるけど、そんなの信用できるの?

    公開リポジトリの情報を使うだけならアカウント連携する必要ないじゃん?

    ここに返信
  • by Anonymous Coward on 2021年01月29日 18時54分 (#3968688)

    Findyの偏差値評価用に手持ちコードをGitHubにアップしたみたいですな。

    笑えないところはそのFindyにSMBCベンチャーキャピタルが出資してるところ。

    ここに返信
    • by Anonymous Coward

      で、Findyのコードもこの人が作って漏れていたら面白い。

  • > 全く問題を理解していない感じ
    プログラマーを 20 年もやっててこれじゃ、年収が低くても仕方がない。

    20 年なら、一人前になっていてもよさそうなものだ。

    ここに返信
  • by Anonymous Coward on 2021年01月29日 23時21分 (#3968930)

    上げちゃう奴も上げちゃう奴だが、
    見つけても、そっと本人にだけ伝えればいいものを、晒すアホ

    ここに返信
    • by Anonymous Coward on 2021年01月30日 1時01分 (#3968976)

      ×そっと本人にだけ伝えればいいものを
      ○そっと勤め先に伝える
      ◎そっとクライアントに伝える

      本人に伝えたって有耶無耶の無かったことになったりして、改善もされず再発したりと碌なことにならない
      伝えるなら問題を解決できる部署なりに報告するのが正しいやり方

      今回も本人に(公だけど)伝えたけど対応がアレだし、自浄できそうもない人に伝えても意味ない
      というか周りの人のこと考えたら通報一択かと

  • by Anonymous Coward on 2021年01月30日 0時10分 (#3968954)

    結果的に証明されてしまったわけだが、こんな金額でまともな技術者が来るわけがないって再認識した方がいい。

    あと、多重請け使ってる企業はリスク管理のやり直しが必要。
    全ての契約に「再委託禁止」と入れなければ、こんな馬の骨が紛れ込んでても分からんだろう。

    つーか契約書でどんなに取り繕っても本質的に違法派遣なので商流全体コンプライアンス欠如しすぎ。
    常駐型請負、それもSESなんて適正に運用しようがない。

    ここに返信
  • この人がアップしたコードを見たところ、どうしようもないほどの糞コードだった。
    これあげて年収評価してもらうとか何を考えているんだろう。

    https://pbs.twimg.com/media/Es3-1IsVEAA7Fpz?format=png&name=small [twimg.com]
    https://pbs.twimg.com/media/Es3-1IsVEAA7Fpz?format=png&name=small [twimg.com]

    boolean にすべき変数を string にして "○" とか "×" を入れてる。
    断指有無が crossFinger とか英語も滅茶苦茶。

    1行で書けば良いコメントを何故か3行にしているし無駄な2行空け多数。
    これ1行いくらでコード書いてるから無駄に長くして水増ししているのかな。

    こんなコードを書く「プロプログラマー」がこの世に存在するとは信じられない。
    年収0、不採用が妥当。

        /**
         *  断指有無
         */
        public String crossFinger;
     
        /**
         *  入墨有無
         */
        public String tatoo;
     
        /**
         *  身上有無
         */
        public String sosialPosition;
     
        /**
         *  本籍有無
         */
        public String domicile;

    ここに返信
  • by Anonymous Coward on 2021年01月29日 18時42分 (#3968677)

    情報漏洩させるエンジニアの価値を低く判定できるようにならないとな
    そもそもコードで年収というのが意味不明だが
    しかもGitにアップさせるなんて漏洩ホイホイなのでは

    ここに返信
    • by Anonymous Coward on 2021年01月29日 19時24分 (#3968715)

      git と GitHub(を含めたレポジトリホスティングサービス) を混同して表現するのはやめてくれ

      それを続けていると git どころか svn も cvs も使えない
      「コピーしてファイルネームを替えてバージョン管理」という太古の闇に戻されかねないぞ

    • by Anonymous Coward

      そもそも業務外でプロ並みのコードを書いてる人向けのサービスなんだよ
      業務でしかプログラミングしない程度の人は対象外

      • by Anonymous Coward

        転職サービスのスキル偏差値化システムで、業務でしかプログラミングしない人を対象外とは意味不明

        • by Anonymous Coward

          あんたは対象外ってことだ

        • by Anonymous Coward

          あれは「そこそこ以上の期間・回数活動をしてる最低限の継続性があり、かつ頭悪い査定方法でも受け入れる社畜精神がある」ことを確認するためのシステムだから。

          ある意味、今回やらかしたような奴がターゲットユーザーではあるかも。

    • by Anonymous Coward

      ヤバゲなコードを含んでたら賠償費用のマイナス査定を吐くんですね

  • by Anonymous Coward on 2021年01月29日 19時04分 (#3968701)

    「すごく反響があるけど面白いのかなぁ? 明日営業にでも聞いてみますわ」的な事を言ってたり
    甘く見ているとか遵法意識が低いと言うより何が何だか訳が分かっていないという感覚を覚えた
    スラドにも時々見受けられるちょっと何かが限界の方なのでは?

    ここに返信
    • by Anonymous Coward

      まさにコンプライアンス教育の敗北

      • by Anonymous Coward

        フリーランスでVBA書いてる奴が「EXCELファイル開くのに制限つけるのはマクロでやればいい、IDとパスワードはCSVに平文保存すればEXCELファイルが盗まれてもセキュリティは保てる」みたいな話してるのを、つい数日前に見たからなあ。

        まあなんだ、リテラシーって下を見たらキリがないよね、教育よりは淘汰で維持しないと限界あるんじゃ?と思う。

      • by Anonymous Coward

        この人がそうだったのかは知らんけど、多重請けなんてコンプライアンス教育とかをはしょるからできるんだろ。
        当然の帰結だと思われ。

    • by Anonymous Coward

      この件でgithub禁止だとかリモート禁止だとかいう会社があるらしいじゃないですか。そんなのが指揮系統にいる会社があるし、そんな会社にしがみついてる奴もいる。
      これらも何がなんだか訳が分かってない奴らですよ。知識や行動がアマチュアレベルでも生きていける業界なんだからこういうのが発生してもおかしくない。

      • by Anonymous Coward

        逆にこの件を受けて「給料の安い人間はリスク」と突然昇給を発表した社もあるとかw

        そんだけピンキリってことだろうけど、ギフハブ・リモートは禁止だー! と脊髄反射するのと
        炎上の渦中で「また俺なんかやっちゃいましたかね?」って平然としてるのとどっちがヤバいかは…

      • by Anonymous Coward

        まぁでも社内環境からGitHubにアップロードできるなら、それは漏洩の抜け道だから封鎖するしかないんじゃない?
        顧客から対策しろって言われたら、シス管レベルではプロキシで遮断するくらいしか思いつかん。今回やらかした奴のアホな言動っぷりを見ると教育じゃどうにもならなそうだし。
        気の利いたシス管なら参照のみできるように遮断ルールを設定するかもしれんが、その対策で顧客が納得するかはなんとも。

  • by Anonymous Coward on 2021年01月29日 19時39分 (#3968735)

    https://github.com/YukiLeafX/SMBC/blob/main/Veiw.java [github.com]
    行:1241

    // list = new ArrayList();
    // list.add("SKE48");
    // list.add("AKB48");
    // list.add("HKT48");

    ここに返信
  • by Anonymous Coward on 2021年01月29日 19時50分 (#3968746)

    ちゃんと年俸0円(初年度のみ賠償金でマイナス)みたいな結果が出たのかな。

    ここに返信
  • by Anonymous Coward on 2021年01月29日 20時04分 (#3968755)

    Cのhello, worldプログラムをインプットすると、査定どれくらいって出るものか。

    ここに返信
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...