メモ
元Twitterセキュリティ責任者で内部告発を行ったピーター・ザトコ氏が、2022年9月13日、アメリカ上院司法委員会で開催された公聴会に出席しました。公聴会の中でザトコ氏は、Twitterのセキュリティチームの中に少なくとも1人は中国の国家公安安全部の工作員が含まれていたことなどを証言しています。
Meeting | Hearings | United States Senate Committee on the Judiciary
https://www.judiciary.senate.gov/meetings/data-security-at-risk-testimony-from-a-twitter-whistleblower
Twitter whistleblower: Security holes cause ‘real harm to real people’ – The Washington Post
https://www.washingtonpost.com/technology/2022/09/13/twitter-whistleblower-peiter-zatko-testifies/
Twitter whistleblower Peiter “Mudge” Zatko testifies to Congress : NPR
https://www.npr.org/2022/09/13/1122671582/twitter-whistleblower-mudge-senate-hearing
公聴会の様子
質問に答えるザトコ氏
◆工作員について
ザトコ氏の証言によると、Twitterは海外の諜報機関による悪用にとても脆弱(ぜいじゃく)で、悪用を根絶することは難しく、会社として根絶する気もなかったとのこと。また、セキュリティチームの中に、少なくとも1人は中国の国家公安安全部の工作員が紛れ込んでいたほか、インドからも工作員が送り込まれていたそうです。
中国の工作員がいるという情報はザトコ氏が解雇される1週間前に、FBIからTwitterのセキュリティチームにもたされたものだったとのこと。この情報がもたらされる以前に、ザトコ氏は会社の幹部に「社内に工作員がいると確信しています」と伝えことがあるものの、「1人はいるんだから、それ以上いてもしょうがないだろう」という反応だったと振り返っています。
◆経営陣について
ザトコ氏は、Twitterの脆弱性の責任は、安全よりも利益を追求する経営陣にあると指摘し、「Twitterはリスクと危機を管理する企業ではなく、リスクと危機によって管理される企業です」と述べています。ザトコ氏によると、Twitterには「いい結果だけを報告する」という社内文化があったとのこと。
なお、この公聴会にはパラグ・アグラワルCEOも呼ばれていましたが、イーロン・マスク氏との法廷闘争を理由として参加を断っています。
チャールズ・グラスリー議員は「この委員会の仕事と外国の影響からアメリカ人を守ることは、デラウェア州で行われるTwitterの民事訴訟より重要なことです。アグラワル氏の主張が本当なのであれば、とてもTwitterで地位を維持できるとは思えません」と、アグラワルCEOを非難しています。
◆Twitterのデータ取り扱いについて
ザトコ氏によれば、Twitterは集まってくるデータをまともに制御できていない状態で、ユーザーの電話番号やIPアドレス、メールアドレス、使っている端末情報、GPS情報、その他の識別情報について、Twitterの従業員のうちの約半数がアクセスできる状態になっていたとのこと。この状態をザトコ氏は「ドアに鍵がかかっていないなら、誰が鍵を持っていようと関係ありません」と表現しています。
また、Twitterは2010年に連邦取引委員会からユーザー保護のための合理的手段を取っていないと訴えられ、2011年に非公開情報へのアクセスを防ぐ措置などについて合意しましたが、2022年5月、合意に反して個人情報を不正に利用としたとして190億円の罰金を支払うよう命じられています。しかし、2020年に入社したザトコ氏によると、そもそもTwitterは2011年に合意した内容をずっと守っていなかった疑いがあるとのこと。
Twitterが個人情報不正利用で連邦取引委員会に190億円の罰金支払いへ – GIGAZINE
ディック・ダービン議員はこのことについて、「Twitterは非常に強力なプラットフォームであり、セキュリティの脆弱性を許容することはできません」と厳しい見方を示しました。また、グラスリー議員は「Twitterが合意を守っているかどうかについて、連邦取引委員会が10年にわたり知らなかったか、十分な措置を講じなかったということについて懸念を抱きます」と述べました。
リチャード・ブルメンタール議員は、ユーザーのプライバシーとセキュリティを保護するための新たな連邦機関創設を要求。
また、エイミー・クロブチャー議員は、超党派グループからテクノロジー企業の影響について懸念があったにもかかわらず、上院はこれといった対応をしてこなかったとして、議会も自らの欠点を直視する必要があるという見解を示しました。
今回の公聴会について、パラグ・アグラワルCEOは反応しませんでしたが、Twitterとの買収問題を抱えるイーロン・マスク氏はポップコーンの絵文字をツイートしました。これはその後のツイートから、公聴会を見ているアピールであるとみられます。
????
— Naughtius Maximus (@elonmusk)
なお、ザトコ氏による内部告発のあと、ザトコ氏がTwitter以前に勤めていたStripe、Google、DARPAのメンバーに対して少なくとも6つの調査会社が接触を図っており、しかも協力者に対して「コストはまったく気にしない」と、1時間1000ドル(約14万円)でも喜んで支払ったことが報じられています。連絡を受けた中の1人である元Stripeのニールス・プロボス氏によると、調査会社はザトコ氏の信用を傷つけるような情報を求めていて「信じられないほどに怪しげな動き」をしていたそうで、Stripeの元最高セキュリティ責任者であるジョナサン・カルトワッサー氏は、ただちにザトコ氏に警告を送ったとのことです。
The Search for Dirt on the Twitter Whistle-Blower | The New Yorker
https://www.newyorker.com/news/news-desk/the-search-for-dirt-on-the-twitter-whistle-blower
この記事のタイトルとURLをコピーする
