スコシアバンクは、内部ソースコードと認証情報がインターネット上に流出したことで「マペット級のセキュリティ」を非難された。

スコシアバンクが大量の内部ソースコードとバックエンドシステムへの秘密ログインキーの一部をオンラインで漏洩したと、The Registerが明らかにした。

カナダの金融大手は、 The Register紙の警告を受けて、過去24時間で、意図せず公開されていた機密情報を含むGitHubリポジトリを削除しました。これらのリポジトリには、外国為替レートシステムのソフトウェア設計図とアクセスキー、モバイルアプリケーションのコード、サービスやデータベースインスタンスのログイン認証情報などが含まれていました。これらは、犯罪者やハッカーが悪用できる脆弱性の宝庫となる可能性がありました。

このセキュリティ上の失態について、北米に拠点を置くITプロフェッショナル、ジェイソン・コールズ氏から情報提供を受けました。コールズ氏は、公開されたまま放置されていたデータを発見し、その一部は数ヶ月にわたって公開されていたと聞いています。スコシアバンクに加え、GitHub、そして同行と連携する決済・カード決済処理会社にも、本記事の公開前に警告が発せられていました。

この記事をお読みになる頃には、スコシアバンクの技術者が誤って設定してしまったと思われるGitHubリポジトリは、すでに非表示または削除されているはずです。以下は、漏洩したソースコードの一部を撮影したスクリーンショットです。

スコシアバンクの広報担当者は、本稿執筆時点ではこの失態についてコメントすることはできなかったが、セキュリティチームがこの件を調査中であることを認めた。

スコシアバンクの中南米向けモバイルアプリの開発に携わっていた開発者によって作成されたと思われる数百のドキュメントとコードファイルの中には、世界中に点在する同行のバックエンドシステムやサービスにアクセスするための認証情報とキーが含まれていた。より機密性の高い設計図の中には、外国為替レートのSQLデータベースシステムと思われるもののコードとログイン情報が含まれていた。

「銀行は外国為替（FX）レートのSQL Serverデータベースを保有しており、その認証情報と公開鍵・秘密鍵は何ヶ月も公開されていました」とクールズ氏はエル・レグ紙に語った。「誰かがFXレートデータを改ざんする可能性があることが分かっているため、銀行の信頼性はそれに応じて低下しています。」

膨大なコードコレクションには、銀行のシステムをサムスンやグーグルペイ、米国のクレジットカード処理業者であるビザやマスターカードなどの決済サービスと統合するためのソースも含まれていた。

膨大なデジタル設計図のライブラリを公開インターネット上に公開していたため、コードが解析され、悪用可能であることが判明した場合、スコシアバンクとその2500万人以上の顧客は攻撃に対して無防備な状態になっていた可能性がある。念頭に置いておきたいのは、2017年にクールズ氏が、このカナダの巨大銀行のデジタルバンキング部門（ハイテク部門とされていた）が、5ヶ月前に期限切れになったセキュリティ証明書を使用していただけでなく、コードの大部分が徹底的な監査やデバッグを受けていなかったことを発見したことだ。

クールズ氏によれば、スコシアバンクが内部秘密をネット上に漏らしたのは今回の失態が初めてではないという。

「私の経験では、スコシアバンクでは平均3週間に1回情報漏洩が起きているので、このマペット級のセキュリティは同行にとってはまったく普通のことだ」とクールズ氏は語った。

スコシアバンクは、認証情報と接続情報が公開されている[IBM] AS/400とDB2のインスタンスを保有していました。顧客向けモバイルアプリからサーバーサイドのREST APIまで、あらゆるもののソースコードを定期的に漏洩しています。顧客データも漏洩しています。もし彼らがセキュリティを最優先事項だと主張していたとしても、優先度の低い事柄をどう扱っているのか、想像するだけで恐ろしいです。

スコシアバンクからさらなるコメントがあればお知らせします。®