Twitter の内部告発者による米議会証言、広告関連のリスクを読み解く

DIGIDAY

9月13日に開かれた米上院司法委員会において、サイバーセキュリティ専門家で有名ハッカーでもあり、また最近Twitterの元幹部として内部告発をおこなったピーター・ザトコ氏は、作家のアプトン・シンクレア氏の文章を引用し、次の一文で議会証言の幕を開けた。

「事態を理解しないことで給料をもらっている人々に、事態を理解させるのは難しい」。

数時間にわたる議会証言のなかで、ザトコ氏は、Twitterがユーザーセーフティよりも利益を優先し、重大な懸念事項への対処を怠って、ユーザーデータと国家安全保障を危険にさらしてきたと語った。2020年11月にTwitterに入社したものの、2022年1月にセキュリティ責任者の役職を解雇されたザトコ氏によれば、Twitterは一般大衆と政府をミスリードする一方で、ユーザーの個人情報を漏洩させ、業界基準に満たないセキュリティを放置してきたという。

ザトコ氏の証言と同日、Twitterの株主たちは、イーロン・マスク氏への同社の売却を賛成多数で可決した。ただし、売却をめぐってはまだ訴訟という足かせがあり、激しい法廷闘争が続いている。ザトコ氏による批判についてコメントを求められたTwitterの広報担当者は、同社の採用プロセスは外国勢力の影響から独立しており、データへのアクセスはさまざまなチェック、規制、監視システムによって管理されていると述べた。

「今日(9月13日)の公聴会は、ザトコ氏の主張がきわめて一貫性を欠いた不正確なものであることを裏付けるものだった」と、Twitterの広報担当者は米DIGIDAYの取材に対しEメールで回答した。

ザトコ氏の議会での証言の中で、広告に関連する話題を以下にいくつか紹介しよう。

中国からの広告収入とセキュリティへの懸念

8月に内部告発をおこなって以来、ハッカーの「マッジ(Mudge)」としても知られるザトコ氏は、Twitterの方針と慣行について、いくつもの重大な懸念を表明している。同社の社員のなかに外国人工作員がいることや、米国やそれ以外の国々の規制当局に不正申告をしていること、外国政府に機密データへのアクセスを許していること、他のテック企業が採用しているセキュリティ水準を満たしていないことなどだ。

TikTokなどそのほかのソーシャルプラットフォームも、潜在的に中国政府によるユーザーデータへのアクセスを許可している可能性があるとして、調査の対象となっている。しかし、ザトコ氏によれば、中国政府関係者がTwitterを通じて米国の消費者データを収集し、結果的に中国企業がTwitter上でクリックスルー広告を展開して、ユーザーがプラットフォームの外の中国のウェブサイトに誘導されていることに関しては、「極めて信憑性の高い懸念」があるという。

ザトコ氏はまた、自身がTwitterに勤めていた当時、社員のあいだで懸念の声があったことも明かした。ある営業担当幹部は、ザトコ氏がTwitterに加わってまもない頃、社員からの懸念の声を認識しつつも、中国の広告主を止めるにも、その広告収入があまりにも大きいという「内部での大きな葛藤」があると語ったという。「要するに、『もう深く関わってしまっているのだから、収入源を失うわけにはいかない。だから関係者が納得できる方法を見つけろ』ということだった」と、ザトコ氏は述べる。

「彼らは自分たちが誰をリスクにさらしているのかや、(中国)政府にどんな情報を提供しているのかを知らなかった」と、ザトコ氏は述べた。「この話を聞いて、彼らはそもそも問題について真剣に考えておらず、ユーザーをリスクにさらしているのではないかと、私は危機感を覚えた。こうした問題は極めてありふれたもので、私から見れば、企業としてのTwitterは、リスクと危機を管理しているというより、リスクと危機によって管理されていた」。

クリックスルー広告のリスクは、公聴会のなかで複数回にわたって話題にのぼった。このフォーマットについて、ユーザーがプラットフォームの外に出ないタイプの広告よりも問題があると考えているか尋ねられたザトコ氏は、クリックスルー広告には「クリックスルー以外の広告にはないリスクが存在する」と答えた。IPアドレスやその他の情報を通じて、ユーザーの位置情報が特定される可能性があるためだ。

「そうなれば、当該人物のコンピューターの内部を探り、さらに情報を引き出すことさえ可能になる」と、彼は述べた。

ユーザーが直面するリスク

ターゲット広告の悪用に関するその他のリスク、たとえばデバイスへのマルウェアの注入、同意のないデータ収集、影響力を不正に行使するキャンペーンなどについて、ザトコ氏は、これらはセールスエンジニアリング担当バイスプレジデントの専門領域だとした。一方で、ザトコ氏は内部データを閲覧した経験から、数千人のTwitterユーザーが、広告主の銀行口座番号や金融機関コードといった情報にアクセスできる状態だったと述べた。

「私の入社当時、ユーザーはこうした情報を書き換えることができた」と、ザトコ氏は述べた。「Appleやナイキ(Nike)といった企業の銀行口座情報を勝手に書き換えられる状態であることの何が問題かは、言うまでもないだろう」。

ザトコ氏によれば、Twitterを通じてユーザーのメールアドレスや電話番号を取得するだけでも、ハッキングして当該人物のEメールを閲覧したり、銀行口座や暗号通貨ウォレットに侵入することが可能だという。さらに、外国政府関係者がユーザーの住所を入手し、その人物に直接接触して、諜報活動に協力するよう圧力をかける可能性すらあると、彼は述べる。「本質的な問題」のひとつは、Twitterがユーザーデータを消去することができないことであり、これはTwitter自身がユーザーに関するデータをどれだけ保有しているかを把握しきれていないためであると、彼は考えている。

リチャード・ブルーメンタール上院議員は、シンクレア氏の文章の引用についてザトコ氏に真意を尋ね、Twitterはユーザーの健全性と安全性と引き換えに「節操なしに」データの収益化をおこなっているということかと質問した。ザトコ氏はその通りだと答えた。またザトコ氏は、Twitterのデータは国家安全保障上の脅威になりうると、繰り返し懸念を表明した。これこそ彼が内部告発に踏み切った理由だ。たとえば、Twitterではエンジニアがユーザーアカウントにアクセスする際にログインを義務付けておらず、どのデータにアクセスしたかの記録も残されていなかったという。

「Twitterとその他のテック企業とのあいだに(セキュリティに関して)大きなギャップがある現状が問題視されることを願う」と、ザトコ氏は言う。

「この種の矛盾に気づくだけでも、組織のなかでの情報の取り扱いの安全性や、タスクの実行能力の向上につながる。そして我々の方も、彼らの主張が事実であるかどうかを判断する精度を上げることができるだろう」と、ザトコ氏は述べた。

規制への対応

ザトコ氏によれば、Twitterの幹部が怖れているのは、米国の規制当局よりも、フランスなど他国の規制当局の方だという。連邦取引委員会(FTC)の一度きりの罰金を払うのは比較的容易であるためだ。規制の必要性について尋ねられたザトコ氏は、FTCの現状の規制アプローチは「機能していない」と答え、FTCは「やや力不足」であり、主要テック企業に「宿題を自己採点させている」状態だと述べた。

他国の規制当局は米国とは異なるアプローチを採っているのか、という問いに対し、ザトコ氏は、FTCはもっと踏み込んだ調査をおこなう必要があり、企業の「回答を額面通りに受け取る」のをやめ、回答期限を厳格に設定し、十分な回答が得られるまで収益化手段を剥奪するなどの厳しい措置をとることを勧めた。

「規制当局は実効性のあるツールを持っているが、手元のどのツールが有効なのかを理解できていない。そして、企業にとって脅威にならない、一度きりの罰金というツールに頼っている」と、ザトコ氏は述べた。

[原文:The Rundown: Twitter’s whistleblower highlights concerns with Chinese ad revenue, security concerns in Senate hearing

Marty Swant(翻訳:的場 知之/ガリレオ、編集:分島翔平)

Source