企業の宝、「ソースコード」が盗まれたらどう謝るべきか：半径300メートルのIT

Panicの事例が多くのことを教えてくれました。

[宮田健，ITmedia]

「Panic Blog」に掲載されたソースコードの盗難経緯

　2017年5月、ちょっと興味深い（当事者にとっては断腸の思いの）報告がブログに掲載されました。Macユーザーにとってはファイル転送ソフトの「Transmit」、そしてWeb開発者にとっては著名なエディタ「Coda」でおなじみのPanicが、ソースコード漏えいのいきさつを同社のブログに掲載したのです。これがとても、生々しいものでした。

マルウェアに感染した「普通のアプリ」

　このブログによると、きっかけは動画変換アプリとして著名なオープンソースソフトウェア「HandBrake」のアップデートでした。

　特定のダウンロードサイトに置かれたHandBrakeのファイルがマルウェア混入版に置き換えられ、これをダウンロードしてしまうとMacの中にあるログイン情報やパスワードなどが含まれるキーチェーン情報が盗まれてしまうというものでした。

　Panicの開発者が運悪くこのマルウェアに感染した結果、同社の大事なソースコード（アプリケーションのプログラムそのもの）が盗まれてしまったのです。

　同社はすぐにマルウェアを無効にし、秘密鍵と呼ばれる重要な情報を更新。ログを見てどこまで影響が広がったのかを調査したところ、コードの流出が判明したのです。さらに悪いことに、ソースコードを盗んだ攻撃者から「公開されたくなければビットコインを払え」という脅迫を受けたと告白しています。

　きっかけは“ほんのちょっとした注意ミス”だったようです。本来なら起動時に要求してこないはずの「管理者権限を要求するパスワードダイアログ」が表示されたというのです。

　これはWindowsでは「ユーザーアカウント制御（User Account Control／UAC）」と呼ばれる、何かをインストールしたり設定変更したりしたときに出てくるダイアログと一緒です。これだけで気付けるかというと、個人的には、「相当手慣れた、知識のある人でないと難しい」と思います。このブログでは、その点がおかしかったと振り返りつつも、誤ってその要求に応えてしまった社員を責めることはしていないといい、私はこの点にも共感を覚えました。

自社にとって「何をやられたらアウト」なのか？

　このブログ記事でもう1つ興味深い点は、Panicが「いったい何をやられたらアウトなのか」という点を掘り下げている点です。

　普通に考えると、アプリケーションを作っている会社が、“そのアプリケーションの根幹をなす「ソースコード」を根こそぎ持っていかれる”ということは、考えられる中でもトップクラスの致命傷のはず。しかし、同社はこう書いています。