三井住友銀行などのソースコード流出では学べない情報漏洩の罠3つ
三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か - ITmedia NEWS
三井住友銀行(SMBC)は1月29日、同行のシステムに関連するソースコードが外部のWebサイト上に無断で公開されていたと明らかにした。委託先の企業に勤務するSE(システムエンジニア)から流出したとみられるものの、顧客情報の流出はなく、セキュリティに影響はないとしている。
委託先のSEとみられる人物が、自身の書いたソースコードから年収を診断できるWebサービスを利用するため、SMBCなどから委託を受けて開発したコードをソースコード共有サービス「GitHub」に公開したのが原因。 ソースコードを公開した人物は自身のTwitterアカウントで「転職の準備のために現在あるコードを全てアップした」と説明。委託されて開発したコードが含まれていた理由については「分からない」としている。「関係各所に多大なご迷惑をおかけしたことを深く反省いたします」と謝罪するツイートも投稿していたが、現在は非公開アカウントになっている。 GitHub上に一時公開されたソースコード群からは、SMBCの他にもNTTデータ ジェトロニクスやNEC、警察の暴力団対策に関連すると思われる記述が見つかった。 |
なんか、GitHub にソースファイルをアップロードしたら、一般に公開されてしまうという事を知らなかったエンジニアが話題になっているようですが、このニュースの件については、一般的なエンジニアにとっては当たり前を理解できていない点がオチとなっているのですが、実は、身の回りにも知らず知らずのうちに情報漏洩を引き起こしかねないトラップがあります。
・韓国製 SNS の LINE で機密ファイルを共有してしまう。
偏見だっていう方もいらっしゃると思いますが。
国産だと偽ったり、無断でBluetooth で位置情報取得したり、過去に情報漏洩引き起こしてる会社を信頼しろと言うのが無理な話。
正直機密ファイルを扱う仕事で使うのは狂気じゃないかと思っています。
・お客様から届いた添付ファイルをVirusTotal に通してしまう
皆さんご存じだと思いますが、VirusTotal には VTインテリジェンス という有償サービスがあってウイルスの分析や生ファイルへのアクセスを提供しています。なので、スキャンすると、有償サービス利用者にファイルが公開されることになります
・VT4Browserを使っていてアクセスしたファイルを自動アップロードする機能が有効になってる
VT4BrowserはChromeのアドオンでブラウザでアクセスしたファイルを自動的にウイルストータルでチェックしてくれる機能です。自動アップロード機能が有効になっていると情報漏洩につながるのですが、あまり気付いてない人も多そうです。
【注意喚起】Webブラウザの拡張機能「VT4Browsers」に係る留意事項等について
標記の件について、文部科学省から注意喚起がありましたのでお知らせします。 つきましては、webブラウザのFirefox及び Google Chromeをお使いの方で、拡張 機能(アドオン)である「VT4Browsers」をご利用の方は、現在の利用状況及び 設定情報について、以下とおり確認をお願いいたします。 □ VT4Browsersの最新バージョン(2021/1/18時点で3.0.11)を利用しているかどうか □ 自動的にファイルをVirusTotalにアップロードする設定になっていないかどうか |
日経クロステックITの記事ですが
セールスフォース製品「設定不備」による不具合続々、バンダイや日本政府観光局でも
https://xtech.nikkei.com/atcl/nxt/news/18/09570/?i_cid=nbpnxt_pgmn_topit