Twitterの混沌とした状況は悪化するばかりだ。
The Washington Post(WP)とCNNは8月23日、Twitterの元セキュリティ責任者、Peiter "Mudge" Zatko氏が内部告発文書で、ユーザーのプライバシー、セキュリティ、コンテンツモデレーションに関する同社の「深刻で重大な欠陥」を発見したと主張していると報じた。
Twitterが1月に解雇したZatko氏は、同社および同社幹部と取締役会がユーザーや連邦取引委員会(FTC)に「虚偽で誤解を与える」行動をとっており、連邦法に違反していると非難している。
告発状によれば、「Mudge(Zatko氏)は14カ月の間、社内で改善を促したが、その行為を理由に解雇された」という。Zatko氏の代理人を務める非営利の法的支援組織、Whistleblower Aidは米CNETに対し、この申し立てが真実であると認めた。Zatko氏は7月に、84ページに上る告発状を米証券取引委員会(SEC)、司法省、FTCに提出した。
この告発は、Twitterにとっての激動期に行われた。社会的影響力を持つソーシャルメディア企業である同社は、TeslaとSpaceXの経営者で億万長者のElon Musk氏が440億ドル(約6兆円)での同社買収取引を撤回しようとしたことによる法廷闘争で注目を集めている。同社は取引を完了するようMusk氏を提訴しており、10月に5日間の審理が予定されているのだ。
Zatko氏の内部告発は、Twitterがユーザーのプライバシーとセキュリティを十分に保護しているかどうかについて深刻な疑問を投げかけるだけでなく、Musk氏が同社買収を余儀なくされるかどうかにも影響を与える可能性がある。
現時点でわれわれが知っておくべきことをまとめてみた。
Zatko氏は著名なハッカーであり、2020年にTwitterに入社する前は、米国防高等研究計画局(DARPA)やGoogleで働いた経験を持つベテランのセキュリティ専門家だ。
同氏は、パスワードの強度をテストするためのソフトウェアを開発し、このソフトは現在も使われている。また、1990年代にはL0phtなどの影響力のあるハッキンググループの一員として、セキュリティ問題について連邦議会で証言したこともある。
Zatko氏をTwitterに招いたのは、前CEOのJack Dorsey氏だ。それは、Elon Musk氏、有名人のKim Kardashianさん、当時民主党大統領候補と目されていたJoe Biden大統領などのTwitterアカウントを10代の若者が乗っ取った後のことだ。
長文の告発状では、Twitterがプラットフォームの健全性や完全性よりもユーザー数の増加を優先したことなど、複数の問題が指摘されている。
告発状によると、経営陣は問題を解決しようとするのではなく、むしろ隠ぺいしようとしたという。おそらく、経営陣はTwitterのデイリーユーザー数を増加させることで報酬を得られるために分別がなくなっていたか、「壊れたシステム」の構築を支援するほかに方法を知らなかったためだとしている。
Zatko氏は2021年、同社のセキュリティとプライバシーに関するさまざまな問題を発見し、幹部に注意喚起したと主張する。告発状には、同社はセキュリティインシデントの発生率が高く、端末のセキュリティやソフトウェアの更新を無効にしている従業員がおり、スタッフはユーザーデータへの過剰なアクセス権を持っていたと記されている。
「Mudge(Zatko氏)は、2020年に発生したインシデントと同規模のエクスポージャーや脆弱性がいくつかあることを特定し、TwitterがEquifax級のハッキングを受ける可能性があると恐れていた」。信用情報会社のEquifaxは2017年、米国の1億4800万人に影響を与えた大規模なデータ侵害を発表した。
Zatko氏は、これらの問題に対処するためのサポートどころか、「激しい反発」を受けたという。特に反発したのは、当時の最高技術責任者(CTO)で現CEOであるParag Agrawal氏だったとし、「Twitterの問題はAgrawal氏の監視下で発生した」としている。
また、Zatko氏は告発状で、Twitterが包括的なセキュリティプログラムを持っているという偽りの主張をすることで、FTCとの11年前の和解に違反しているとしている。Zatko氏の調査結果はDorsey氏が恐れていたよりも悪く、TwitterはこれまでFTCの命令に従ったことがなく、従おうともしていなかったと主張する。
Twitterはプラットフォーム上のスパムボットの数についてMusk氏に嘘をついており、サービスを退会したユーザーのデータを完全に削除しているとFTCに誤解させたという。さらにZatko氏は、民主主義と国家安全保障に対する脅威についても説明している。例えば、インド政府がTwitterに政府職員の雇用を強制したことや、中国企業からの収益への依存度が高まっていることなどだ。
Twitterは、Zatko氏を解雇したのは「リーダーシップの欠如と能力の低さ」が理由であり、同社はセキュリティとプライバシーを優先していると語る。
Twitterの広報担当者、Rebecca Hahn氏はWPに対し、次のように語った。「告発状に書いてあることは、Twitterとそのプライバシーおよびデータセキュリティの慣行に関する虚偽の説明であり、矛盾と不正確性に満ち、重要な背景が欠如している。Zatko氏の申し立てとその日和見的なタイミングは、注目を集めてTwitterと同社の顧客および株主に損害を与えようとしているかのようだ」
Twitterは米CNETに対しても同じ内容を回答した。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」