HOME コラム一覧 知って得するセキュリティのはなし その26

知って得するセキュリティのはなし その26

post_visual

オムニ7アプリのソースコードに漏洩の疑い…「GitHub」上で閲覧可能な状態に

1.このニュースをざっくり言うと

- 7月24日(日本時間)、一部ネットメディアより、セブン&アイグループが提供するモバイルアプリ「オムニ7アプリ」のソースコードがコード管理サイト「GitHub」において閲覧可能な状態だった、とする記事が発表されました。

- 記事によれば、7月上旬に発生した「7pay」における不正購入等の問題に関連して、同グループのオムニ7アプリの解析を行っていた外部のエンジニアが解析中に表示されたアプリのアクセス先サーバの名前をGitHub上で検索したことがきっかけとのことです。

- ソースコードは2015年5月~7月頃時点のものとされ、7月10日には削除されている他、GitHub上でフォーク(他のユーザによる複製)されたものも同18日に開発に関わったとみられる業者からの削除申し立てがされたとのことです。

2.執筆者からの所感等

- GitHubはソースコードやドキュメント等を管理(複数名による分散管理)ないし不特定多数と共有するためのサイトとして特に開発者に絶大な人気を持っていますが、2019年1月まではリポジトリ(ソースコードの保管庫)を非公開にする設定が有料ユーザのみに制限されていた経緯があります。

- ソースコードのバージョンが古い等の状況から、「アプリの開発チームが正式にGitHubを使用していた訳ではなく開発者の一人が個人的にアップロードしていた」こと、第三者に開示することを意図していなかったであろうソースコードを「当時有料ユーザ契約をしなかったことにより公開状態で管理していた」こと、そして「GitHubを使わなくなり削除することを怠っていた」こと、等が推測されます。

- 全てのデータを社内等のサーバに保存する「オンプレミス」での開発に慣れ、それしか知らない状態でチームや個人が安易に「クラウド」を採用することは危険であり、「基本的に非公開とし誤って公開されていないか確認する」「公開状態のリポジトリにセンシティブなデータ(パスワードやセキュリティトークン等)を含んだ状態でアップロードしない」「管理対象を把握し不要となったものは可及的速やかに削除する」等、利用にあたって注意すべきことを事前に啓発し、適切に利用させることがクラウドの利用にあたっては最低限必要となります。

- 一方のオンプレミスにおいても「サーバが外部にないから安全」という認識でいるのではなく、クライアントPCに感染したマルウェア等を経由して不正アクセス等が行われる可能性に注意し、UTMの設置やネットワークセグメントの分割等といった防御策をとることが重要です。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし その25

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2019/img/thumbnail/img_36_s.jpg
- 7月24日(日本時間)、一部ネットメディアより、セブン&アイグループが提供するモバイルアプリ「オムニ7アプリ」のソースコードがコード管理サイト「GitHub」において閲覧可能な状態だった、とする記事が発表されました。- 記事によれば、7月上旬に発生した「7pay」における不正購入等の問題に関連して、同グループのオムニ7アプリの解析を行っていた外部のエンジニアが解析中に表示されたアプリのアクセス先サーバの名前をGitHub上で検索したことがきっかけとのことです。- ソースコードは2015年5月~7月頃時点のものとされ、7月10日には削除されている他、GitHub上でフォーク(他のユーザによる複製)されたものも同18日に開発に関わったとみられる業者からの削除申し立てがされたとのことです。
2019.08.07 16:12:21