Github 流出 |😭 ソースコード流出事件、原因はモラルの欠如 GitHubをもっと使え：日経ビジネス電子版

Github 流出。 SMBCに続きNTTデータも被害を確認、広がるGitHub上のコード流出問題

SMBCに続きNTTデータも被害を確認、広がるGitHub上のコード流出問題

一部のソースコードが公開されていたのは米ギットハブが運営する「GitHub」。なので、一義的には契約の履行を確認していない発注元が悪いし、契約を履行しないような会社を使った発注元が悪いし、業務指示を無視するような社員を使っている会社と契約した発注元が悪い。。

まず、GitHub云々ということで「自分の事だ！」と私のTLに多いエンジニアな人たちが多く反応してたけど、もう少し一般的に考えると昔からある情報資産の漏洩対策です。

年収診断のためGitHubにコードを上げたプログラマー氏の給料は本人のツイートによると年収300万くらいだったらしい。

とりあず安易にGitHubのアクセスごと禁止するのは意味ないので、月曜日の偉い人との戦いに備えましょう！それではHappy Hacking！. そのベンダーでオープン系向けの品質管理手法が確立したのは、その数年後のことらしい。

これは大きく生産性を損ねるのでおそらく申請ベースで特定メンバーに許可するという方式になるでしょう。

会社でGitHubを使うとなぜ危ないのか

何らかの方法でソースコードが持ち出された現場も、末端の下請け企業のオフィスではなくてSMBCの現場からだったと、IT業界の人間であれば誰でも思うはずです。

NTTデータジェトロニクス製の銀行決済ネットワーク向けパッケージソフトをカスタマイズして納入した案件で、一致が見られたという。

多重下請け構造のリスク多重下請け構造には大きなセキュリティリスクがあります。

一方で、日本のIT業界が抱える多重下請け構造の中で、開発成果物の著作権や各種の機密情報に関する知識だけでなく、社会常識まで欠いたITエンジニアによる流出リスクも浮き彫りにになった。

誰でも見られる状態で事実上の流出と言える。

GitHubへのソースコード流出問題、防ぎようはあるのか専門家に聞く

オフィスでも自宅でも同じリポジトリを使えるのでリモートワークに最適。開発中のソフトウエアの共有にGitを使うと、「いつ」「誰が」「何をしたか」といった作業履歴を全て保存できる。

企業においては有料版を契約し、GitHubのプライベートリポジトリ上に成果物を保管。

NECグループ社員がソースコード流出に関与していないことも確認できており、NECの委託先企業の社員による可能性を含めて流出経路について調査を進めている。

その際、自身がSMBCなどの委託で開発したコードを、ソースコード共有サービス「GitHub」に公開したことが原因という。

過去にはベネッセのシステムで顧客情報が流出した事件がありましたが、その時も流出させた犯人は現場に常駐していた外部の人間でした。

GitHub上のソースコード流出問題の被害は5社に、NECとコアも確認

大規模開発のスピードや質を確保するうえでGitHubや同様のクラウドサービスは必須の道具になりつつあり、その利用禁止は組織を横断したシステム開発を否定するのに等しいとCSAJは訴える。 GitHubは禁止するべきなのかもし今回の事件をふまえて「GitHubは禁止するべきだ」という話がどこかで持ち上がっているようであれば、その考え方はナンセンスだと言わざるを得ません。

ソースコードであっても公開しても会社の脆弱性には繋がらないコードと、 APIキーやパスワードなどのクレデンシャル、機密データを生成または含むアルゴリズム 1 、特許になるようなコアアルゴリズムなど重要度はソースコードによってまちまちです。どのくらいの時間でキーを抜かれて、不正利用が始まるの？というのが気になったので、検証してみました。

マルウェア「Emotet」などがひっきりなしにやってくる中、チェックをVirusTotal任せたいと思う方は少なくないはずです。

複数人でソフトウエアを開発する場合、最も問題となるのがソフトウエアのバージョン管理だからだ。

流出の経路は現在も調査中だが、行内からでなくシステム開発の委託先から流出したとみている。

GitHubへのソースコード流出問題が残した教訓、対策は多重下請け構造の管理にあり

重層的な下請け構造、手を動かしていないが故に技術に詳しいとは限らないベンダー、仕事を通じて技術を習得したところで自己研鑽の余裕がない下請け。開発中のソフトウエアをファイルサーバーなどで管理しようとすると、ソフトウエアを更新しても、いつ誰がどう更新したかの記録が残らない。しかも、以前は、利用できるツールが限られたPC等を与えて、物理的にエンジニアを特定の場所に集めて作業をしていたわけですが、コロナ禍でリモートワークも増えていくとなると、情報管理体制を構築し、適切に運用していくことがますます困難になっています。

納入先の顧客はデータ流出やセキュリティー上の悪影響がないことを確認できているという。一方で伝統的なシステム開発では、ソースコードは委託した業務の重要な成果物、秘匿すべき商業機密として組織内で管理することが一般的で、開発環境からはGitHubなどのサイトにアクセスできないよう遮断している場合が多い。

これだけ見ると多重下請けの末端の会社がSMBCのまったく預かり知らないところでコードを流出させたようにも見えますが、IT業界では「客先常駐」が昔から行われてきているスタイルですから、末端の下請け企業のオフィス内で開発が行われていたのではなく、末端の下請け企業の従業員がSMBCが用意したプロジェクト現場に派遣されて、そこで開発は行われていたと推測されます。

自分を頭越しに元請けとPP差替するとは何事だ、金融システムの常識がないというのである。

今回は年収診断サービスの利用が動機だったが、過去には若手社員が業務効率化のため、良かれと思ってソースコードをGitHubで共有してしまった事例も聞いている。

GitHub に AWS キーペアを上げると抜かれるってほんと？？？試してみよー！

一方で「保守契約は結ばないけど、何かあったときのために、ベストエフォートで残しておいてよ」といった話はゼロではない。次ページでログインまたはお申し込みください。 GitHubには、このように他人の著作物を勝手にアップロードされ公開された場合に、著作権者が公開の停止を申請することができます。

ブラックリストによるWebフィルタリングこの手のセキュリティ対策で一番人気なのがブラックリストによるWebフィルタリングです。それと同じことです。

NTTデータ子会社のコードも公開されているという情報もあります。

Githubとは、ソースコードを上げられるサイトです。

その場合は一見GitHubへのアクセスを全面禁止しても良さそうです。