Twitter前セキュリティ責任者の内部告発の詳細：FTC命令の不遵守、ボット過少申告、スパイを主張

Twitterには、規制当局、株主、金融市場、ユーザー、そしてイーロン・マスクに対して行っていた説明と相反する重大なセキュリティ問題がいくつもある、と最近まで同社の最高セキュリティ責任者を務めていた人物が内部告発し、波紋を呼んでいる。

CNNとワシントン・ポストが議会と連邦政府機関に送られたこの情報開示を独占入手した。内部告発者であるCEO直属のセキュリティ責任者であったピーター・ザトコが200ページ超の報告書で行った主な主張は以下の通り。本記事はCNNの報道を基にしている。

• 十分な監督なしにプラットフォームの中央制御と最も重要な情報へのアクセスを多く従業員に許した
• 同社の最高幹部がTwitterの深刻な脆弱性を隠蔽しようとした
• 1人または複数の現役社員が外国情報機関のために働いている可能性がある
• Twitterの経営陣が自社の取締役会や政府規制当局に、外国のスパイ行為や工作、ハッキング、偽情報キャンペーンへの道を開くとされる脆弱性を含む、セキュリティ上の脆弱性について正しく伝えなかった
• Twitterがアカウント解約後にユーザーのデータを確実に削除していない
• Twitterの幹部はプラットフォーム上のボットの実数を完全に把握するためのリソースを持っていない

証拠書類を含め合計約200ページに及ぶこの厳しい情報開示は、先月、証券取引委員会、連邦取引委員会、司法省を含む多くの米国政府機関や議会委員会に送られた。

開示に基づく報道には、テクノロジー、メディア、広告業界で働く人々にとって非常に有用な情報だった。ソーシャルメディアが退潮していく決定打のようにも見える。このため今回の一件を深く掘り下げてみたい。

内部告発者のセキュリティ責任者のバックグラウンド

「倫理的ハッカー 」として知られるザトコは、「バッファオーバーフロー」と呼ばれるセキュリティ脆弱性の初期研究の責任者で、最初のセキュリティ勧告のいくつかと、コード挿入、サイドチャネル攻撃、組み込みシステムの悪用、商用システムの暗号解読などのUnixの初期の脆弱性を示す研究を発表している。また、パスワードクラッキングソフトウェア「L0phtCrack」などのいくつかのセキュリティツールの作者でもある。

ザトコは倫理的なハッカーとして申し分のない経歴を積んできた。過去にGoogle、オンライン決済大手Stripe、米国防総省で要職を歴任している。CNNによると、バイデン政権でサイバー系の上級職をオファーされていたという。

2020年に当時の大統領候補バイデン、バラク・オバマ元大統領、キム・カーダシアン、マスクなど、世界有数の著名人のツイッターアカウントが侵害されるという壊滅的なハッキング事件が発生した。これにより、彼は当時CEOだったジャック・ドーシーに請われ、Twitterのセキュリティ責任者として雇われた。

ザトコは今年1月にTwitterから「パフォーマンス不振」を理由に解雇された。しかし、CNNによると、ザトコは今回の内部告発は、Twitterの取締役会にセキュリティの不備を指摘し、Twitterが長年にわたる技術的な欠陥と連邦取引委員会（FTC）とのプライバシー協定の不遵守の疑いを修正するよう勧めた後、解雇が行われたという。

Facebookの内部告発者フランシス・ホーゲンの代理人を務めたのと同じ団体、Whistleblower Aidがザトコの代理人を務め、今回の内部告発、報道、そしてTwitter対イーロン・マスク裁判において想定される証言につながった。

「Facebookは売上を優先し誤情報とヘイト拡散を見逃した」と内部告発

Facebookの元従業員は、同社がプラットフォーム上でのヘイト、暴力、誤情報を抑制するより広告収益を優先してきた経緯を暴露。その証拠として「何万ページもの」文書を提示した。同社はケンブリッジ・アナリティカのスキャンダル以来、最も深刻な危機に陥っている。

アクシオン｜経済メディア吉田拓史

ザトコの主張①：上層部によるセキュリティ問題の隠蔽

CNNなどが入手した情報開示によると、アグラワルとその側近は、緊急のセキュリティ問題で進展があったという誤った認識を与えるために、故意にデータを抜き出して虚偽の報告をするようザトコに命じ、ザトコに隠れて第三者のコンサルティング会社の報告書を改ざんさせ、同社の問題の本質を隠蔽したとされている。

ザトコの主張②：本番環境にエンジニア全員がアクセスできた

Twitterでは、数千人の従業員（従業員の約半数に相当）がプラットフォームの重要な制御装置にアクセスできたという。

2021年1月6日の連邦議会襲撃の後、ザトコは反乱軍に同調する社内の人物が同社のプラットフォームを操作しようとする可能性を懸念した。彼は、Twitterのエンジニアによる本番環境へのアクセスを締め付けようとした。

しかし、ザトコはすぐに「本番環境を保護することは不可能である」ことを知ったようだ。すべてのエンジニアが何らかの形で本番環境への重要なアクセス権を持っていた。しかも「誰がその環境に入り、何をしたのか、ログは残っていない」という。

Twitterは、従業員の個々の業務用コンピュータをほとんど管理・視認できないため、セキュリティの不備について従業員に責任を負わせる能力にも欠けていたとザトコは主張し、10台中4台のデバイスが基本的なセキュリティ基準を満たしていないとする社内のセキュリティ報告書を引用した。

ザトコの主張③：社内に他国のスパイがいる

この本番環境の運用方法に対して最も脅威となるのが、社内に潜んだスパイだ。Twitterは、米国の国家安全保障を損なう形で外国政府からエクスプロイトされる可能性が極めて高く、現在、同社には外国のスパイが在籍している可能性さえあると、この開示は主張しているという。

CNNが引用した内部告発の報告書によると、ザトコは解雇される直前に、少なくとも1人、おそらくそれ以上の従業員が他国政府の情報機関で働いているという具体的な証拠をTwitterに提供したという。

今回の報道の2週間前には、Twitterの元マネージャーがサウジアラビアのスパイとして有罪判決を受けている。米国とレバノンの二重国籍を持ち、Twitterで中東や北アフリカのジャーナリストや著名人との関係を監督していたAhmad Abouammoは、サウジアラビアの代理人として行動し、サウジアラビアの王室と結びついた関係者からの支払いを偽装しようとしたことが認定された。

ザトコの主張④：海外からの干渉

昨年、ロシアのウクライナ侵攻に先立ち、アグラワル（当時は最高技術責任者）はザトコに対し、Twitterに対する広範な検閲や監視につながるロシアの要求に従うよう提案した、とザトコは主張している。

この開示には、アグラワルの提案の詳細は記載されていない。しかし、昨年夏、ロシアはTwitterに対して、国内にローカルオフィスを開設するか、広告禁止の可能性に直面するよう圧力をかける法律を可決した。西側のセキュリティ専門家は、ロシアが米国のハイテク企業に対してより大きな影響力を与えることを意図した動きであると述べている。

アグラワルの提案は最終的に破棄されたが、それでもTwitterがどこまで成長を追求するのか、憂慮すべき兆候だったとザトコは主張している。

ザトコの主張⑤：サーバーが脆弱性の塊のような旧式ソフトウェアで動いている

Twitterのサーバーインフラは深刻な脆弱性を抱えているとザトコは主張している。情報開示によると、同社の50万台のサーバーの約半分は、ストレージに保存されたデータの暗号化やベンダーによる定期的なセキュリティ更新といった基本的なセキュリティ機能をサポートしていない旧式のソフトウェアで動作していた。同社はまた、データセンターのクラッシュから再起動または回復するための十分な冗長性と手順を欠いているとザトコの情報開示の中で述べている。

ザトコの主張⑥：FTC命令の不遵守

2010年、FTCはTwitterに対して、ユーザーの個人情報の不適切な取り扱いと、Twitterの本番環境にアクセスできる従業員が多すぎるという問題で提訴した。その結果、翌年にはFTCの命令が確定し、Twitterは「包括的な情報セキュリティプログラム」を策定・維持することを含め、自浄作用を発揮することを誓約した。

ザトコは、同社の主張とは裏腹に、10年以上前にFTCが要求したことを「一度も遵守していなかった」と主張している。

「FTCが指摘した脆弱性やその他の不備に対処しなかったとされる結果、Twitterは『異常に高いセキュリティインシデント率』で、政府機関への開示が必要とされるほど深刻なものが週に1件程度発生していると、ザトコは述べている。彼は、1月にTwitterから解雇された後、2月にTwitterの取締役会に宛てた書簡で、「私の職業上の経験に基づけば、同業他社はこれほどの規模や量のインシデントを抱えていない」と書いている」

巨額の罰金を課せられる可能性がある。CNNが取材した2011年にTwitterが同意命令を受けた当時、FTCの委員長だったジョン・ライボウィッツによると、Twitterが法的義務に違反したと判断されれば、新たな罰金として数十億ドルが課せられる可能性がある。

ザトコの主張⑦：「ｍDAU」によってボットの割合を少なく申告

ザトコは、プラットフォーム上のアカウント総数に対する割合ではなく、Monetizable daily active users（mDAUs、収益化可能デイリーユーザー）に対する割合としてのみボットを報告することによって、Twitterはサービス上の偽アカウントとスパムアカウントの真の規模を不明瞭にしていると主張している。

mDAUによって大方のボットを排除した範囲を設定し、その中でのボットの割合を示すことで、ボットの割合を小さく見せていた、と彼は開示の中で主張している。同社はこれまで、mDAUのうち偽アカウントやスパムアカウントは5％未満であると繰り返し報告していた。

Twitterの反論

• FTC命令の不遵守疑惑。TwitterはCNNに対し、2011年の同意命令の下で同機関に提出された第三者による監査に、ザトコが参加していなかったことを挙げている。Twitterはまた、関連するプライバシー規則を遵守しており、システムの欠陥を修正する努力について規制当局に透明性を保っていると述べている。ザトコの申し立ては、Twitterの既存のプログラムやプロセスがTwitterのFTCの義務を果たすためにどのように機能しているかを把握できていないことに一部基づいていると、同氏の在職期間に詳しい人物がCNNに語ったという。
• 全てのエンジニアに対する本番環境アクセス権。Twitterの従業員は、他のITおよびセキュリティチームが監督するデバイスを使用しており、そのデバイスが古いソフトウェアを実行している場合、機密性の高い内部システムへの接続を阻止する権限を有しているとTwitterは反論。「ザトコの在職期間を知る人物」は、デバイスのセキュリティに関するザトコの統計の中には、信頼性に欠けるものもあり、Twitterの既存のセキュリティ手順を適切に考慮していない小規模なチームによって導き出されたものであるとCNNに対して主張した。

漁夫の利を得るマスク

Twitterとの公判を控えるイーロン・マスクにとっては、Twitterの情報開示の信憑性を揺るがす新たな材料が手に入った。この記事が最初に掲載された後、マスクの弁護士であるアレックス・スピロは対し、「我々はすでにザトコ氏に対して召喚状を発行しており、彼の退場と他の主要従業員の退場は、我々が発見していることに照らして不思議なことだと感じた」と述べている。

ドーシーは最後の数ヶ月で完全にやる気を失った

情報開示には、ジャック・ドーシーは、Twitterを率いていた最後の数カ月間、彼が極端にやる気をなくしている様子が描かれていたという。上級スタッフの中には彼が病気である可能性を考える者さえいたほどだったようだ。この時期にマスクがドーシーと私的に話をし、マスクがTwitter買収を意識したと裁判所への提出書類には記されている。