ディズニーや任天堂、Microsoftなど50社以上の企業のソースコードがリークされる

by Swedg

ディズニーや任天堂、Microsoftなどを含む50社以上の企業から大量のソースコードがリークされました。

Source code from dozens of companies leaked online
https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/

Disney, Microsoft, Nintendo and 50 more hit by massive source code leak | Tom's Guide
https://www.tomsguide.com/news/companies-source-code-leak

Source code of over 50 high profile organizations leaked online
https://www.hackread.com/source-code-of-high-profile-companies-leaked/

流出したソースコードは、「Confidential and Proprietary」と題されて公開されています。

Groups · Confidential and Proprietary · GitLab
https://git.rip/exconfidential

ソースコードが流出した企業は、ディズニー、任天堂、Microsoft、Adobe、Lenovo、Qualcomm、AMD、Motorolaなどの著名企業を含むおよそ50社です。リークの被害にあった企業の一覧は、以下の画像から確認することができます。

これらのソースコードは、ITコンサルタントを営むエンジニアのTillie Kottmann氏が収集したもの。Kottmann氏が自分自身でDevOpsツールの設定ミスなどを突いて入手したソースコードもあれば、別の情報源から入手したソースコードも含まれているそうです。

公開されているソースコードについて、Kottmann氏は「資格情報などの重要情報は削除する」と述べ、企業からの削除要求に応えるという姿勢を明確にしています。実際に、「Confidential and Proprietary」内のメルセデス・ベンツ傘下のダイムラーやLenovoのフォルダは空となっており、Kottmann氏が削除要求に応じたものとみられています。さらに、「企業のインフラストラクチャのセキュリティを強化する情報を喜んで提供する」ともKottmann氏は述べているとのこと。

Kottmann氏はDevOpsツールの設定が不適切な企業が他にも存在し、プログラムの品質管理に使われるSonarQubeのインストールを適切に行っていないことが原因で、私有ソースコードを公開してしまっている企業は数千社以上にも上ると指摘しています。

「Confidential and Proprietary」によって公開されたソースコードは、2020年7月26日頃から話題となっている「Gigaleak」と呼ばれる任天堂のコード流出と関連しているとみられています。「Gigaleak」では、スーパーマリオ64のソースコードにルイージがプレイアブルキャラクターとして含まれていたことが明らかになっています。

スーパーマリオ64のソースコードからルイージがプレイ可能なキャラクターだったことが判明、「ルイージは実在した」とネットで話題に - GIGAZINE

さらに、「Super Donkey(スーパードンキー)」という、「スーパーマリオ ヨッシーアイランド」風のゲームのプロトタイプや……

the d'onkey - YouTube


「ポケットモンスター ダイヤモンド＆パール」に登場するポケモンのスプライトの初期案なども流出しています。