インドのアウトソーシング企業タタ・コンサルタンシー・サービスのスタッフが、金融機関のソースコードと内部文書の膨大な量を公開GitHubリポジトリにアップロードしたとIT専門家が主張している。
食品安全検査会社テルスペックのCTOで、元銀行ソフトウェア開発者でもあるジェイソン・クールズ氏は、インドのコルカタにいたタタ・グループの開発者が誤って漏洩した機密ファイルのコレクションを偶然発見したと述べた。アーカイブには、開発メモ、生のソースコード、ウェブバンキングのコード開発計画に関する内部報告書、そしてアウトソーシングパートナーとの電話通話記録が含まれていた。
これらの文書は、タタがカナダの大手銀行6行、米国の有名金融機関2社、日本の多国籍銀行1行、そして数十億ドル規模の金融ソフトウェア会社のために行っていたプログラミング作業に関するものでした。これらのデータは、同様の機能を開発している競合組織にとって、また、設計上の脆弱性を悪用して数百万ドルを盗み出す可能性のある犯罪者にとって、大きな利益となります。
「幸いなことに、流出したのは銀行の顧客のデータではなく、主に補助的なデータだった」とクールズ氏は先週末、レジスター紙に語った。
「しかし、そこにはハッカーだけでなく、競合他社にとっても役立つ情報がまだたくさん残っていました。最初にアクセスした銀行は、他の銀行が何をしているのかを知ることになります。これは常識を著しく欠く行為でした。」
深刻な被害を引き起こすには十分すぎる情報…セキュリティ上の理由から編集された、漏洩したデータの一部のスクリーンショット
漏洩の警告を受ければ、影響を受けた企業はすぐに反応するだろうと予想されるが、私たちの担当者によると、そうはならなかったという。現在カナダのトロントに拠点を置く英国人のクールズ氏は、カナダの銀行に連絡したが、拒否されたり無視されたりしたという。
対照的に、アメリカの金融機関は非常に好意的に受け止め、即座に対応したと聞いています。問題のアーカイブはGitHubからすぐに削除されました。タタはThe Registerからのコメント要請には応じませんでした。影響を受けた顧客の名前は、セキュリティ上の理由から現時点では公表されていません。
カナダはどうなってるの?
クールズ氏はザ・レグ紙に対し、カナダの銀行の頑固さに関する自身の経験は驚くべきことではないと語った。同氏は何年もの間、銀行のセキュリティの甘さを批判してきたが、ほとんど改善が見られなかったからだ。
「カナダとアメリカの間には大きな文化の違いがあります」と彼は説明した。「カナダ人はセキュリティ情報にお金を払いたがりませんし、私も無償で働くことはありません。しかしアメリカでは、トロントでのミーティングのために、ある企業がその日のうちに飛行機に乗せてくれたことがあり、その夜はギネスビールをご馳走になり、一緒に問題について話し合ってくれました。」
「私の猿じゃない、私のサーカスじゃない!」と題したカナダの銀行ソフトウェアに対する批判記事を執筆したクールズ氏は、自身の調査により、カナダのスケジュールI銀行25行のうち9行がフィッシング攻撃に対して脆弱であることがわかったと述べた。
ある銀行のアプリは「膨大な量のデータを吐き出している。取引ごとに40MBものデータがブラウザに送信される」と彼は述べた。また、通信の安全確保に努めているモバイルバンキングアプリはほとんどないとも述べた。
カナダの商業金融機関スコシアバンクは、特にクールズ氏の怒りの的となっている。同行のアプリは接続に必ずしもHTTPSを使用しておらず、HTTPに切り替わることがあるという。
「今、少なくとも100万人が安全でない銀行アプリを使っていて、大きな問題が発生するのは時間の問題です」と彼は述べた。「これは喜ばしい状況ではありません。私は笑っています。笑わなければ、きっと泣いてしまうでしょうから。」®
