IT小僧の時事放談

Twitter社のセキュリティ問題を内部告発から考えてみよう Twitterのセキュリティチームには中国の工作員がいる

2022年8月27日

2022年8月23日(米国時間)にCNNと『ワシントン・ポスト』でTwitter社の内部告発が報道されている

記事の内容は、買収問題で対立している イーロンマスクとTwitterの記事が中心ですがその裁判に影響するといわれているのが、元Twitter社のセキュリティ責任者だった ピーター・ザトコ(Peiter Zatko)氏の証言だった。

今回のIT小僧の時事放談は、
Twitter社のセキュリティ問題を内部告発から考えてみよう

Twitter社のセキュリティの何が問題なのか現在わかっていることを整理してみよう

スポンサーリンク

Twitterのセキュリティチームには中国の工作員がいる

2022年9月14日

元Twitterセキュリティ責任者で内部告発を行ったピーター・ザトコ氏が、2022年9月13日、アメリカ上院司法委員会で開催された公聴会に出席しました。公聴会の中でザトコ氏は、Twitterのセキュリティチームの中に少なくとも1人は中国の国家公安安全部の工作員が含まれていたことなどを証言しています。

Meeting | Hearings | United States Senate Committee on the Judiciary
https://www.judiciary.senate.gov/meetings/data-security-at-risk-testimony-from-a-twitter-whistleblower

Twitter whistleblower: Security holes cause ‘real harm to real people’ - The Washington Post
https://www.washingtonpost.com/technology/2022/09/13/twitter-whistleblower-peiter-zatko-testifies/

Twitter whistleblower Peiter "Mudge" Zatko testifies to Congress : NPR
https://www.npr.org/2022/09/13/1122671582/twitter-whistleblower-mudge-senate-hearing

公聴会の様子

質問に答えるザトコ氏

◆工作員について
ザトコ氏の証言によると、Twitterは海外の諜報機関による悪用にとても脆弱(ぜいじゃく)で、悪用を根絶することは難しく、会社として根絶する気もなかったとのこと。また、セキュリティチームの中に、少なくとも1人は中国の国家公安安全部の工作員が紛れ込んでいたほか、インドからも工作員が送り込まれていたそうです。

中国の工作員がいるという情報はザトコ氏が解雇される1週間前に、FBIからTwitterのセキュリティチームにもたされたものだったとのこと。この情報がもたらされる以前に、ザトコ氏は会社の幹部に「社内に工作員がいると確信しています」と伝えことがあるものの、「1人はいるんだから、それ以上いてもしょうがないだろう」という反応だったと振り返っています。

続きは ↓

「Twitterのセキュリティチームには中国の工作員がいる」「経営陣は安全より利益を重視」などを内部告発者が議会で証言 - GIGAZINE
https://gigazine.net/news/20220914-peter-zatko-hearing/

かなりヤバい情報が出てきました。

 

内部告発

2022年7月 元Twitter社のセキュリティ責任者だった ピーター・ザトコ(Peiter Zatko)氏と弁護団は、米国の司法省や証券取引委員会(SEC)、連邦取引委員会(FTC)に対して

Twitter社のセキュリティに問題があるという数百ページに渡る文書を提出しました。

文書には、Twitter社ののセキュリティ面やプライバシー面の怠慢に関して多数の詳細が記載されていてその内容は、世界的SNSの企業としてあまりにもずさんなものだった。

セキュリティ問題の内容

ピーター・ザトコ(Peiter Zatko)の告発をざっくりまとめてみました。

  1. すべてのエンジニアが本番にアクセスできる状態にあった。
  2. セスした人物や作業の記録なし
  3. 3分の1近くの従業員のノートPCでソフトウェアが自動更新されていない
  4. データセンターのサーバーの半数が適切に更新されていない
  5. 設置時にデータが暗号化されていなかった
  6. スタッフのスマートフォンにも管理規定がない、つまりシステムに接続された何千台もの従業員のデバイスが、まったく管理されていない
  7. 新たな機能やシステム更新を本番環境に適用する際、その準備をするための包括的な環境・試験環境がなかった
  8. 商業サービスを直にテストしていたので、サービスがよく中断していた
  9. 従業員の半数が、監視されることなく稼働中の本番システムやユーザーデータにアクセスする権限を特別に与えられていた

これは、真実としたならば、Twitter社のセキュリティは、いい加減だったわけである。

Twitterは、最近 情報漏洩が明るみに出ている。

2022年8月
米ツイッターから個人情報流出 メアド・電話番号など最大540万件か

すべてが、Twitterの問題とは言えないかもしれませんが、情報漏洩に関しては、問題があったことが報道されている。

反論

もちろん、このような 内部告発に対してTwitter側は反論を示している。

「公表されている編集済みの申し立てについては現在確認中」。ツイッターの最高経営責任者(CEO)のパラグ・アグラワルは、8月23日朝に従業員に送ったメッセージにそう記している。「会社としての完全性を守るため、また事実関係を明確にするためにあらゆる手段を探っていく」

WIRED
https://wired.jp/article/mudge-twitter-whistleblower-security/

裁判によってこれから明らかになると思いますが、状況を見守っていきましょう。

まとめ

思わぬ告発でヤバい状況になってきたTwitter社

アラブの春など社会や政治的な影響も強く、最近では、元トランプ大統領のアカウント停止
また、アカウント凍結とそれに対する曖昧な対応、犯罪告白、アカウントの乗っ取り、なりすまし、芸能人、有名人などへの誹謗・中傷 などインターネットの危険性とやんちゃなところを併せ持ったSNSと個人的に思っている。

ほかのSNSが優等生になってゆく中、このようなアウトロー的なものは、(ネットの文化として)残して欲しいのだが、時代はそれを許さないし、大声を出すバカも規制を騒ぐだろう。

今回の内部告発でTwitterがどのようになってゆくのだろうか?

裁判も含めて新しい展開があったらまた記事を書くと思います。

 

-IT小僧の時事放談
-, , , ,

Copyright© IT小僧の時事放談 , 2023 All Rights Reserved Powered by AFFINGER5.