三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】

[樋口隆充，ITmedia]

　三井住友銀行（SMBC）は1月29日、同行のシステムに関連するソースコードが外部のWebサイト上に無断で公開されていたと明らかにした。委託先の企業に勤務するSE（システムエンジニア）から流出したとみられるものの、顧客情報の流出はなく、セキュリティに影響はないとしている。

ソースコードが流出したSMBC（出典：公式Facebook）

　委託先のSEとみられる人物が、自身の書いたソースコードから年収を診断できるWebサービスを利用するため、SMBCなどから委託を受けて開発したコードをソースコード共有サービス「GitHub」に公開したのが原因。

　ソースコードを公開した人物は自身のTwitterアカウントで「転職の準備のために現在あるコードを全てアップした」と説明。委託されて開発したコードが含まれていた理由については「分からない」としている。「関係各所に多大なご迷惑をおかけしたことを深く反省いたします」と謝罪するツイートも投稿していたが、現在は非公開アカウントになっている。

　GitHub上に一時公開されたソースコード群からは、SMBCの他にもNTTデータ ジェトロニクスやNEC、警察の暴力団対策に関連すると思われる記述が見つかった。

　ソースコードの公開を巡り、Twitter上では28日深夜から「GitHub」「SMBC」がトレンド入りするなど、ITエンジニアなどを中心に話題を集めている。

「GitHub」「SMBC」がTwitterトレンド入り

各社の対応は？

　こうした一連の騒動に対し、各社が対応に追われている。

　SMBCは「ソースコードが公開されていたことは事実」とした上で「流出したのは行内の事務系システムのプログラムの一部。顧客情報の流出やセキュリティに影響がないことを既に確認している」とコメントした。

　NTTデータ ジェトロニクスも同様に委託先からの流出を認めたものの、「流出したものは開発途中の（システムの）一部で、当社が納品を受けたものとは異なり、当社環境からの流出ではない」と回答。流出したプログラムも「単独では悪影響を与えるものでないという確認が取れた」と説明した。ソースコードについても「SMBC向けではないという確認も取れた」という。

【編集履歴：2021年1月29日午後10時40分　NTTデータ ジェトロニクスのコメントを加筆しました。】

　この他、金融システム事業などを手掛けるProfit Cube（東京都品川区）の個人信用情報の照会・審査システムに関わると思われるソースコードも複数見つかっている。