2021年のITニュースを振り返ってみると、サイバーセキュリティに関する報道が引き続き多い1年だったように思う。21年はどういったインシデントが発生したか、カテゴリー別でまとめてみた。
ソースコード共有サービス「GitHub」で、サービスに関するソースコードが誤って公開される事件が複数発生した。1月には、三井住友銀行やNECなどのシステムに関連するソースコードが無断で公開されていたことが判明。各社の委託先に所属していたエンジニアとみられる人物が、自身が書いたソースコードから年収を診断するWebサービスを利用するために、GitHubに無断でアップロードしたことが原因とされた。
また、キャッシュレス決済サービスの「LINE Pay」でも、約13万人の決済情報がGitHubで公開状態になっていたことが判明。グループ会社の従業員による無断アップロードが原因と公表している。同社も業務でGitHubを利用しているが、個人のリポジトリに業務データをアップロードすることは社内ルールで禁止していたという。
GitHubはソフトウェア開発に欠かせない存在となっており、どちらも使い方に問題があった点が共通している。LINE PayもITmedia NEWSへの取材に対し、「GitHubへのアクセスそのものが問題ではなく、情報の内容に応じた利用が出来なかった点が問題としており、その点について再発防止を講じるところです」とコメントしている。
2021年は、SaaSの設定ミス(GitHubもSaaSと言われればそうかもしれない)による情報漏えいも目立った。20年12月にPayPayと楽天が利用しているSaaSに不正アクセスがあったと発表。21年に入ってもfreeeやSMBC日興証券などが、CRM大手「Salesforce」の設定ミスで、それぞれ約3000件と約12万件の個人情報が閲覧可能な状態になっていた。
Salesforceだけでなく、プロジェクト管理ツール「Trello」経由で個人情報を含むユーザーの書き込んだ情報が一部公開されていた事件もあった。Trelloの初期設定は非公開に設定されているが、外部からアクセスできるというリスクを認識しないま公開設定にしていたユーザーが多かったとみられる。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR