ツイッターの内部告発に潜む「セキュリティの深刻な問題」の中身

ザトコが提出した文書では、ツイッターの3分の1近くの従業員のノートPCでソフトウェアが自動更新されていない状況が説明されている。また、データセンターのサーバーの半数が適切に更新されず、設置時にデータが暗号化されていなかったという。

さらに、スタッフのスマートフォンにも管理規定がなかった。つまり「中核」となるシステムに接続された何千台もの従業員のデバイスが、まったく管理されていなかったことになる。だが、ツイッターの「基本アーキテクチャー」のセキュリティ問題に関する彼の主張は、一連の問題の核心を反映するものだ。

ザトコはさらに、新たな機能やシステム更新を本番環境に適用する際、その準備をするための包括的な環境・試験環境もなかったと説明している。この結果、エンジニアが稼働中のシステムにおいて「商業サービスを直にテストしていたので、サービスがよく中断していた」と、彼は説明している。

またザトコが提出した文書によると、ツイッターの従業員の半数が、監視されることなく稼働中の本番システムやユーザーデータにアクセスする権限を特別に与えられていた。それは不正行為を補足したり、迷惑活動を追跡するためだったという。ザトコによるとツイッターには11,000人程度の従業員がいるという。同社は現在の従業員数を7,000人としている。

セキュリティ事案やデータ侵害のほか、ユーザーアカウントの危険な乗っ取りがTwitterで起きている背景には、こうした貧弱なセキュリティ体制があるというのが、ザトコの主張だ。

「公表されている編集済みの申し立てについては現在確認中」。ツイッターの最高経営責任者(CEO)のパラグ・アグラワルは、8月23日朝に従業員に送ったメッセージにそう記している。「会社としての完全性を守るため、また事実関係を明確にするためにあらゆる手段を探っていく」

従業員は退社後も「データにアクセス可能だった」

ツイッターによると、すべての従業員のコンピューターは中央で管理されており、更新されていない場合にはIT部門が強制的にインストールしたり、アクセスを制限したりできるという。また、本番システムへの接続許可をコンピューターに出す際には検査を実施し、ソフトウェアが最新であることを確認しているという。さらに、「業務上の正当な理由」のある従業員のみが「具体的な目的で」本番環境にアクセスできる仕組みだと説明している。

Snapp Automotiveの共同創業者で最高技術責任者のアル・サットンは、「ツイッターが開発プラットフォームで管理していたプログラムのソフトウェアの変更を提起できる従業員のGitHubグループから、自分が排除されることはなかった」と、8月23日にツイートしている。サットンは20年8月から21年2月まで、ツイッターでソフトウェア技術者として働いていた人物だ。

サットンはツイッターを退社してから18カ月にわたり、プライベートなデータ保管庫にアクセスできたという。そして、ツイッターが公のオープンソースプロジェクトだけでなく、内部のプロジェクトでもGitHubを利用していることを示す証拠を投稿した。この投稿から約3時間後に、ようやく自分のアクセス権が取り消されたという。

「ツイッターはマッジの主張にまったく無頓着だと思ったので、検証可能な事例があれば世間の役に立つと考えたのです」と、サットンは言う。ザトコの告発がツイッターで働いていた自身の経験に沿うものかどうかと尋ねたところ、サットンは「彼の主張を疑う理由が何もない、というのがいま言える最善のことです」と答えている。

会員限定記事会員サービス詳細