ツイッターの内部告発に潜む「セキュリティの深刻な問題」の中身

ツイッターの元セキュリティ責任者による内部告発は、同社が抱えていたセキュリティの深刻な問題を明らかにしている。なかでも注目すべきは、システムの操作を記録・監視する体制に乏しく、エンジニアがユーザーのデータまで閲覧できる状態にあったという指摘だ。

ツイッターでセキュリティ責任者だったピーター・ザトコ(ハッカー名「マッジ」の通称で知られる)の内部告発について、8月23日(米国時間)にCNNと『ワシントン・ポスト』が報じた。ツイッターのセキュリティ体制に欠けている部分があり、それが危険なレベルに達していたという内容である。

例えば、アカウントに占めるボットの比率は世間に誤解されるような方法で数えられていたほか、名の通った国の政府関係者を雇っていたなど、内部告発の内容は多岐にわたる。そのなかでも、ある告発内容が特に注目に値する。

ザトコによると、ツイッターのエンジニアは、ネットワーク上に展開された稼働中のソフトウェアプラットフォームに広くアクセスできる状態だったという。それだけではない。ユーザーが利用する本番環境において誰が何をしているのか、監視・記録する体制は最小限しかなかったというのだ。

つまり、ユーザーのデータが思いがけず(または悪意をもって)見られる状態にあり、Twitterの仕組みそのものに手を加えることもできた、ということになる。しかも警戒されたり、明確な痕跡を残したりすることなくだ。

ザトコの告発はすべて深刻なものだが、社内の根本的なシステムの問題をこれほど明確に指摘しているものはない。

ツイッターが抱える「重大な過失」

ザトコと彼の弁護団は22年7月、米国の司法省や証券取引委員会(SEC)、連邦取引委員会(FTC)に数百ページに渡る文書を提出している。この文書では、ツイッターのセキュリティ面やプライバシー面の怠慢に関して多数の詳細な申し立てがされていた。

イーロン・マスクがツイッターを440億ドル(約6兆円)で買収する合意の履行義務が争点となっているなか、ザトコの申し立てが重要な意味を帯びてくる可能性がある。申し立てが事実なら、数億人のTwitterユーザーが直接的な影響を被ることになるだろう。

「情報セキュリティの一部の領域において、ツイッターは重大な過失を抱えている」──。22年1月に解雇された際に、ザトコはツイッターへの最終報告書でそう記している。政府機関に提出した文書では、さらに次のように付け加えていた。「本番環境を守ることは不可能だった。すべてのエンジニアがアクセスできる状態だった。環境にアクセスした人物や作業の記録はない」

ツイッターは広報担当者を通じたコメントで、「ザトコ氏はリーダーシップの欠如と遂行能力の低さにより、2022年1月に上級管理職を解任されました」と説明している。「わたしたちがこれまで目にしてきたのは、ツイッターそのものとわたしたちが取り組むプライバシーやデータセキュリティに関する誤った情報です。矛盾や不正確な点も多く、肝心な文脈が抜け落ちているものでした。ザトコ氏の申し立てと時期を見計らった行動は、注目されることを見越してツイッターやその顧客、株主に損害を与えようとするものだと考えられます。セキュリティとプライバシーは長年にわたり全社を挙げての優先事項であり、今後もそうあり続けるでしょう」

明かされた貧弱なセキュリティ体制

ツイッターがザトコを雇用したのは20年11月のことだった。その数カ月前にはTwitterがハッカーの攻撃を受け、アップルやカニエ・ウェスト、ジェフ・ベゾス、イーロン・マスクなどの著名なアカウントが侵害を受けている。ザトコはツイッターに入社するまでの数十年にわたり、「L0pht」というハッカー集団の一員として、また国防高等研究計画局(DARPA)やグーグル、Stripeといった組織・企業のサイバーセキュリティ専門家として名を馳せていた人物だ。

会員限定記事会員サービス詳細