Apple CEO のティム・クック氏がリーカーへの不快感を従業員と共有した内部メモがリークしている (The Verge の記事、 Mac Rumors の記事、 Neowin の記事)。

この内部メモは先週開催された Apple 従業員全員会議の内容がメディアにリークしたことを受けたものだ。クック氏は新製品情報のリークにも触れ、多くの従業員が感じるフラストレーションを自身も共有していると語る。

クック氏は人々をチームとして結びつける非常に重要な機会だと全員会議を位置付ける一方で、その機会は会議の内容が Apple 社内にとどまってこそ機能すると指摘。知っての通り Apple は社外秘の情報をリークした人物を決して許さず、その特定に惜しまず力を注ぐと述べている。

リーカーが少数の人々で構成されていることはわかっており、社外秘の情報をリークする人々がここに所属していないこともわかっているとのことだ。

すべて読む | アップルセクション | アップル | 情報漏洩 |

関連ストーリー：
Apple、M1 Mac miniで画面にピンク色の四角い点々が表示される問題を調査中 2021年02月24日
Appleの最高セキュリティ責任者、贈賄罪で起訴される 2020年11月27日
ドコモショップが客を「クソ野郎」などと称する社内メモを作成、誤って客に渡して発覚 2020年01月15日
リーク防止を呼び掛けるAppleの内部メモがリーク 2018年04月16日
新iPhoneの名称は「iPhone X」？ 2017年09月08日
Surface Bookの発売当初は返品率が高かったというMicrosoftの内部メモが流出 2017年08月15日
非正規修理業者がディスプレイ交換を行ったiPhoneも製品保証の対象になる？ 2017年02月28日
米Yahoo!、社内スタッフでYahoo!メールを使っているのはたったの25％ 2013年11月27日

以前話題となった富士通の情報流出に関する報道が複数行われている。朝日新聞の記事によれば、ProjectWEBにアクセスしたハッカーが東京五輪や原発に関する情報を検索した履歴があることが判明したという。犯行を行った人物等が政府や重要インフラのネットワークに侵入する狙いがあった可能性があるとしている。この人物が中国系ではないかともしている（朝日新聞その1、朝日新聞その2）。

これとは別に、日経クロステックの記事によれば、富士通から流出したとみられるデータが暴露サイトに複数掲載されていることが分かったという。25日ごろから流出情報が掲載されたとしており、圧縮ファイルサイズで4GBほどあったという。データベース設計書などのシステム関連データが含まれており、東レなどの名前が含まれていたとのこと。流出経路などは分かっていない。東レ広報からは回答はなかった模様。ただし、富士通側は証拠はなく関連ないものと考えていると回答しているとのこと（日経クロステック）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日

Amazon Echo等のIoTデバイスも普及して製品も世代を重ねていることから、中古が市場に流れることが多くなった。しかし、ノースイースタン大学の研究者の研究によると中古で流れているAmazon Echo Dotは出荷時状態にリセットされていることは少ないそうだ。このため、元の所有者の無線LAN情報、Amazonアカウントの認証情報、ルーターのMACアドレスなどにアクセスできる事例も多かったそう。また出荷時状態にリセットされていた製品であっても、専門的な知識があれば個人情報を復元することはできたそうだ（ノースイースタン大学研究論文[PDF]、PC Watch、GIZMODO）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ロボットがエレベーターを操作するための共通規格が策定。経済産業省 2021年06月08日
中国が国際電気通信連合（ITU）に対し新たなInternet Protocolを提案、IETFはこれを拒否 2020年04月09日
ロシア連邦保安庁の下請け企業、IoT機器を狙った攻撃ツールを開発していた 2020年03月25日
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 2020年03月02日
IPAが「情報セキュリティ10大脅威 2020」を発表、「スマホ決済の不正利用」1位に 2020年01月31日
ハッキングコンテスト「Pwn2Own」、優勝チームが獲得した賞金は合計約2,100万円 2019年11月15日
レーザーでスマートスピーカーを遠隔操作する攻撃手法 2019年11月06日
AmazonのスマートスピーカーがDVを通報したとされる事件、問題のスマートスピーカーには通報機能はなかった？ 2019年08月15日
Amazon、GDPRに基づいた個人データ開示請求に対し他人の大量の音声データを送付 2018年12月25日

デジタルアーツは23日、パスワード付きZIPファイルをメールで送信するPPAPに関する分析レポートを公開した。同社はオープンソースで誰でも入手できるパスワード回復のソフトウェアとCPUにCore i5-10210Uを搭載した一般的な仕様のPCを組み合わせて、どれくらいの時間でZIPファイルのパスワードを解読できるかテストしたという（デジタルアーツ、PC Watch、週刊アスキー）。

サンプルで設定した「zansin」という英語小文字6ケタのパスワードであれば、1秒未満で解読することができたとしている。パスワードを12ケタにした場合でも2分51秒で解読可能だとのこと。同社では何度でもパスワードの入力を試すことができることから総当り方式の解読が可能であり、偶発的な事故が起きやすいとして、自社の提供するソリューションを利用することを勧めている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 情報漏洩 |

関連ストーリー：
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日
JetBrains日本総代理店のサムライズム、Zip添付メールに展開手数料を請求へ 2020年04月03日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日
ZIPのパスワードを直後のメールで送る不思議 2018年12月25日
GPU で ZIP パスワードを高速解析 2011年07月25日
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日

先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事、 HackReadの記事、 Neowinの記事、 SlashGearの記事)。

グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。

グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。

すべて読む | セキュリティセクション | セキュリティ | インターネット | ゲーム | 情報漏洩 |

関連ストーリー：
Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2021年02月09日
GitHub、内部向けSlackチャンネルでナチスへの懸念を示した従業員の解雇は誤りだったと謝罪 2021年01月19日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
今度は3DSのOSやソフトのソースコードが流出？ 2020年05月26日
Wiiの設計情報やソースコードが流出？ 2020年05月07日
Slack、2015年の不正アクセスに関連してアカウントの約1％でパスワードをリセット 2019年07月21日
Microsoftが日常業務でSlackを使用禁止し、GitHub.comを非推奨にしているとの報道 2019年06月26日
EA曰く、「ガチャ」は「驚きの仕組み」であり非常に倫理的 2019年06月21日
任天堂、loot box規制を受けてモバイルゲーム2本のベルギーでのサービス終了を発表 2019年05月24日
ベルギー当局がEAを捜査、ゲーム内アイテムがランダムで入手できるタイプの課金システムを問題視 2018年09月13日
EAの新作ゲーム「Star Wars バトルフロントII」、課金システムに対し強い批判が集まる 2017年11月20日
EA、PCやゲーム専用機の大型タイトルでもゲーム内課金で稼ぐ方針へ転換 2017年10月26日
Electronic Artsが標準ライブラリEASTLを公式にオープンソース化 2016年02月16日

自動車用品などを手掛けるユピテルは7日、同社の会員サイト会員サイト「My Yupiteru」が2017年10月にサーバが不正アクセスを受け、約52万件分の個人情報が外部に流出していたことを発表した。流出したデータは住所、氏名、性別、生年月日、電話番号、メールアドレスで、退会済みや入会途中のデータも含まれていたという（プレスリリース, ITmedia）。

ITmediaの記事によると、不正アクセスから3年以上も経過後という異例の状況で発表されたのは、当時の調査では不正アクセスはあったものの、個人情報がダウンロードされた痕跡は認められないとの結論に至ったためだったとしている。

ところが2021年5月になってから、犯人からと思われる「2017年末にサーバをハッキングし、顧客情報を持っている」との脅迫メールが届き、実際に流出されたデータを確認できたことから公開に踏み切った模様。要求金額については明言を避けたものの、「かなりの金額」であるとしている。

あるAnonymous Coward 曰く、

金額を支払ったかは報じられていない。発覚時点で公表すれば大きな問題にならなかっただろうに、こういう会社は結構ありそうである。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
カプコン、著作物の写真無断使用で提訴へ。昨年の不正アクセス事件により判明 2021年06月07日
富士フイルム、ランサムウェアによる攻撃を受けた可能性があると発表 2021年06月03日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
偽の裁判所令状を使用したドメイン乗っ取りが発生 2021年05月06日

富士通は25日、同社が運営する情報共有ツール「ProjectWEB」で大規模な不正アクセスが発生したと発表した（富士通、国土交通省、外務省、内閣サイバーセキュリティセンター[PDF]、ITmedia、成田国際空港、piyolog、iPhone Mania、NHK）。

現在ProjectWEBに関しては原因究明のため運用を停止しているという。この影響で顧客である企業や官公庁の情報流出が相次いでいるという。国土交通省は26日に内外関係者約7.6万件分のメールアドレスが流出したと発表、外務省もデジタルガバメントに関連する検討資料が流出。その中には個人を特定できる情報も含まれていたとしている。被害が出ていることから、内閣サイバーセキュリティセンターも情報システムを構成する機器類の情報が漏れていたと発表した。このほかにも成田空港も運航情報管理システムに関係する情報などが不正アクセスを受けたと発表している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
松井証券口座から委託先企業のSEが不正引き出し。被害総額は約2億円 2021年03月25日

内閣府は4月22日、内閣府の職員らが使用しているファイル共有サーバー（FileZen）に不正アクセスがあり、231人の個人情報が流出した可能性があると発表した。このFileZenはソリトンシステムズが提供しているもので、内閣府、内閣官房、個人情報保護委員会、復興庁の職員がファイルの送受信を行うために使用していた。内閣府のネットのワークの外に設置されていたものであるという（内閣府、piyolog、ITmedia）。

今回の不正アクセスは1月に発生したものであるという。ストレージの脆弱性を突く形で発生しているとしている。内閣府のリリースによると、

開発元において3月までに修正パッチの提供等所要の対応がとられました（同社から公表済み）。

ソリトンシステムズは昨年12月にFileZenの脆弱性が含まれていることを確認しており、至急アップデートするよう求めていた（ソリトンシステムズ）。タレコミによると、セキュリティアナリストのhiro_(@papa_anniekey)氏は、そのリリースの翌日となる12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた模様。この対策をしていなかったことが原因となっている可能性が高そうだ。なおpiyologの記事によれば、FileZenは主に国内で約1100台が稼働、その内6割は地方自治体など公共系組織が利用しているとのこと。

あるAnonymous Coward 曰く、

なお、セキュリティアナリストのhiro_(@papa_anniekey)氏は昨年12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた。

情報元へのリンク

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
9割の地域金融機関が営業担当者に個別のメールアドレスを設定していない。金融庁調査 2021年04月24日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日
「Rakuten Link」で個人情報と通信の秘密の漏洩、楽天モバイルに半年ぶり7度目の行政指導 2021年03月11日
ホンダでサイバー攻撃が発生か。リモート勤務ができないので有給推奨 2020年06月12日
前橋市教委のサーバーで発生した不正アクセスによる情報漏洩被害、管理委託先のNTT東は損害賠償の支払いを拒否 2020年02月21日
堺市、情報漏洩対策としてUSBポートをふさぐ 2016年02月13日
宮崎県えびの市民図書館利用者の個人情報もパスワードなしのFTPで公開状態になっていた 2010年10月01日

あるAnonymous Coward 曰く、

4月5日の夜頃から、5chなどでAtlassian社のタスク管理ツール「Trello」を公開設定で使っている企業の情報がGoogle検索などで表示されることが見つかり、就活生の個人情報や不採用理由などが丸見えになっていると漏洩騒ぎになっているようだ（ITmedia、Twitterのまとめ）。

「Trello」は無料で使用可能なカード型のタスク管理ツール。ボードの公開範囲を「private」にすることで関係者のみに閲覧させることができるが、何故か「public」にしている例が多々あるようで（デフォルトがpublicという話もあるが、タレコミ子が確認した限り現時点ではデフォルトはprivateで、publicに変える時も警告がでる）、それがGoogle検索でヒットしてしてしまい、どうみても部外秘の情報が見えてしまっているらしい。

採用などに使われている例が多々あるようで、漏洩した情報としては「就活生の個人情報」「採用/不採用理由」「パスワードやクレカ情報のメモ書き」「パスワードリスト」「水商売やAV女優の個人情報」「ネタ帳」「社員の愚痴」「スケジュール表」「パパ活情報」「役所の情報」「アムウェイの勧誘リスト」等々多岐にわたっているという。Trelloを利用している方は、直ちに公開範囲を再チェックしましょう。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
イーロン・マスク曰く、Teslaが諜報活動にかかわることはない 2021年03月24日
「Rakuten Link」で個人情報と通信の秘密の漏洩、楽天モバイルに半年ぶり7度目の行政指導 2021年03月11日
福岡県が管理する新型コロナ陽性者数千人分の個人情報が流出、経緯に不可解な点も 2021年01月07日
河野大臣が"Zoom危険厨"にTPOでの使い分けを諭す 2021年01月04日
チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 2020年11月20日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日

富士薬品は3月24日、ビジネス版LINEである「LINE WORKS」で、誤操作により友だち登録している顧客160人を含めたトークルームを作成、それによりニックネームとアイコンといった顧客情報が相互に閲覧できる状態となってしまったと発表した（富士薬品、Security NEXT）。

顧客側で公開範囲を「全体公開」として設定している場合、LINEタイムラインへの投稿が、トークルーム内の顧客間でお互いに見られる状態になっていた。ただしトークルーム内での投稿などは行われなかったとしている。Security NEXTの記事によれば、富士薬品側がLINE WORKSを提供しているワークスモバイルジャパンにトークルームの削除方法を問い合わせたところ、削除手段は提供されていなかったとしている。このため、富士薬品は対象となる160名の顧客に対して個別にトークルームから退出してもらうように電話で案内したとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
韓国政府によるLINE通信傍受を報じた記事への反論ブログが一度削除。指摘後に復活へ 2021年03月31日
LINE Payの出入金や購入先含む決済情報は韓国サーバーに保管。サーバー管理はNAVERが担当 2021年03月24日
LINE個人情報問題が国や自治体へ影響。総務省も採用活動などへの使用中止へ 2021年03月19日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
LINEのトークなどを含む個人情報、中国の委託先技術者が閲覧できる状況に 2021年03月17日
大阪府知事・大阪市長は公用メールを使わない 2020年11月25日

情報処理推進機構（IPA）が、ブラウザの通知機能を悪用して偽の通知を表示させ、不審なサイトに誘導する手口が増えているとして、安易に通知を許可しないことや表示された通知表示の内容をよく確認する、誘導先のサイトでアプリをインストールや個人情報の入力を避けるといったことを求めている。TECH+のまとめを引用すると手口は次のとおりとされる（IPA、TECH+）。

1. CAPTCHA認証などを装った画面を表示させ、通知表示の「許可」を押させるように誘導する
2. 通知許可が得られたら、閲覧中に「パソコンがウイルスに感染した」「スマートフォンをクリーンアップしてください」などの通知を表示する
3. 通知表示をクリックさせ、不審なサイトへ誘導する

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
東大が独自の新型コロナ感染対策アプリ「MOCHA」を開発。学校内専用 2021年03月02日
COCOAのような緊急アプリはデジタル庁で開発主導へ。平井デジタル改革担当相 2021年02月08日
watchOS 7.3配信へ。国内でもApple Watchで心電図や心拍の通知機能が利用可能に 2021年01月28日
Apple Watchの不規則な心拍通知機能、誤検知で医療現場の負担を高めているとの研究成果 2020年10月03日
YouTube、電子メールによる更新情報通知を13日で廃止 2020年08月10日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日

Salesforce関連の設定不備による情報流出が相次いでいる問題で、両備システムズが第三者による不正アクセスがあったと発表した（両備システムズ 2021.02.12、両備システムズ 2021.02.15）。

対象となったのは同社が提供している自治体向けの健診・検診インターネット予約システム「Web住民けんしん予約」、住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」の三つ。この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという（毎日新聞、Security NEXT、ScanNetSecurity、NHK）。

同社では2月1日中にシステムの設定変更を行ったとしている。日経新聞によればトラブルの発端は、Salesforceが2016年1月に投入したUIに含まれる「Lightning Experience」にあった可能性が高いとしている（日経新聞）。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど 2021年02月04日
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月08日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
NTTコミュニケーションズで「水平移動」型の不正アクセス、621社の情報流出の恐れ 2020年05月30日
日経グループの社員がメール経由でウイルスに感染、社員ら1万2514人分の個人情報流出 2020年05月15日

米フロリダ州にあるオールズマー市で、水道局の浄水システムがハッキングされ、飲料水の水酸化ナトリウム（苛性ソーダ）が100倍の濃度に設定という事故があったそうだ。職員が異常に気がついたため直接的な被害は発生しなかったという。長時間気がつかなかった場合は、住民に健康被害が出ていた可能性もある（CNN、Engadget、Reuters、Tampa Bay Times）。

この浄水システムの従業員用コンピューターには、外部からのメンテナンス用にリモートデスクトップアプリのTeamViewerがインストールされていたという。そのTeamViewerを何者かが遠隔操作で操作し、浄水システムを設定しようとしているのを監視担当の職員が発見した。

職員はTeamViewerが外部からコントロールされるときに表示されるポップアップに気がついた。ただ、上司が定期的にシステムにリモートアクセスしていたため、こうした表示が出るのは日常的な出来事だったそうだ。

しかし、その日は2度アクセスがあり、その2回目の操作では不正侵入者はマウスをドラッグしプログラムを開いてシステムを操作、水酸化ナトリウムの添加量を100ppmから11,100ppmに増やす設定をした。侵入者は3〜5分間ほど作業していたという。職員は侵入者が離脱した後に設定をすぐに元に戻したことでトラブルは防ぐことができたとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
スマート貞操帯がハッキングされ身代金を要求される。支払うも解除されず 2021年02月02日
日産の社内ツールやソースコードがサーバーの設定ミスで流出 2021年01月08日
APT29と見られる組織が米財務省などのメールを傍受。アップデートを改ざんして侵入か 2020年12月14日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
SNSを利用した空き巣にご用心 2020年11月11日
カプコンがランサムウェアの被害に。1100万ドルの身代金を要求 2020年11月10日
テレフォンバンキングがリバースブルートフォース攻撃される可能性について 2020年09月18日
米ルイジアナ州地裁、ランサムウェア攻撃を受けて裁判所文書が流出 2020年09月14日

Salesforceが提供しているサービスで、設定不備により顧客情報などが流出するトラブルが複数起きているようだ。内閣サイバーセキュリティセンター（NISC）も1月29日に注意喚起を求める文書を公開した（NISC[PDF]）。この文章では具体的な設定項目についての詳細は触れられていないが、日経クロステックの記事によれば、

「Salesforceサイトを有効に設定（インターネットに公開している）」などの3条件がそろうと、「セールスフォースが提供するクラウドサービスに保存した情報に第三者が特定の機能を用いてアクセス可能となり、情報が漏洩する可能性がある」

としている。同じ日経クロステックの別記事によると、1日までに楽天やPayPay、イオン、バンダイとBANDAI SPIRITSや 日本政府観光局（JNTO）[PDF]で、この設定不備の問題により顧客情報の流出が起きたとしている。この中の一番新しい被害と思われるバンダイの29日の発表によれば、氏名、住所、電話番号、メールアドレス、対応記録が第三者からアクセスされた可能性があるという。

なおITmediaの記事によると、NISCの担当者は現在の状況は「明らかになっているのは氷山の一角」と話している模様。Salesforce側は12月25日にこの問題に関する声明を発表しており、それによると、プラットフォームの脆弱性に起因するものではなく、公開サイト機能を利用ユーザーが適切な設定をしていないためことが原因としている（Salesforce）。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月08日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
過去最大の上場が一時停止。アリペイのアントグループ、上海・香港への上場を直前で停止発表 2020年11月04日
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
NTTコミュニケーションズで「水平移動」型の不正アクセス、621社の情報流出の恐れ 2020年05月30日
日経グループの社員がメール経由でウイルスに感染、社員ら1万2514人分の個人情報流出 2020年05月15日

GitHubへの社内コード流出の件は、さまざまなところで波紋を呼んでいるようだ。コンピュータソフトウェア協会（CSAJ）は2日、「GitHubに関する対応とお願い」という声明を発表した（一般社団法人コンピュータソフトウェア協会、INTERNET Watch）。

簡単に言えば大手の発注元は、下請け企業などに対して、GitHubなどへのアクセスを禁止する方向に動かないでほしいというものとなっている。どうも今回の件で大手企業がGitHubへのアクセスを禁止する方向に動いている気配がある模様。このため、先のGitHubに関する対応とお願いでは、日本の抱える多重下請け構造のことやGitHubはソースコードを共有し合うサービスであり、開発の速度や質の面でも欠かせないサービスであると言うことを説得するような内容となっている。

同様にITmediaに掲載された「GitHubは悪者か? SMBCのソースコード流出から学ぶ、情報漏えいのリスク」という記事でも、

GitHubなどのエンジニアが利用するサービスを悪者にして一切の接続を禁止するといった“やったつもりのセキュリティ対策”はお薦めしません。

と同し懸念を指摘する一文が含まれている。こちらの記事では教育に力を入れて対処していくすべきだとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ソースコード流出事件を受けて、GitHubの監視サービスがスタート 2021年02月02日
年収を査定してもらうためとして、SMBC証券の業務コードを公開していたことが発見される 2021年01月29日
日産の社内ツールやソースコードがサーバーの設定ミスで流出 2021年01月08日
Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される 2021年01月05日
流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み) 2020年11月06日
Microsoft、流出したWindows XPのソースコードをGitHubから削除するのに10日を要する 2020年10月12日