ツイッター内部リーク爆弾「プライバシーとセキュリティにひどい欠陥」「外国のスパイがいる」元セキュリティ責任者が告発――現時点のざっくりまとめ

ツイッター社元幹部が重大な欠陥をリーク

けっこうな騒ぎになってますが、ツイッター社(Twitter Inc.)に内部リーク者が出ました。

ツイッターの元最高セキュリティ責任者は、ユーザーのプライバシーとセキュリティに関して”重大な欠陥”があるとして、安全保障を危険をさらしたと告発しました。

この元幹部=ペイター(ピーター)・ザトコ氏は、連邦取引委員会(FTC)、米国証券取引委員会(SEC)、司法省(DOJ)などに告発文書を提出し、ツイッターのセキュリティにおける重大な欠陥を指摘しています。

これは我々日本のユーザーにとっても「隣の庭の話」じゃなく、私も含めツイッターのアカウントを持っている人全員のプライバシーに関わる問題かもしれません。

ザトコ氏の告発内容

ザトコ氏は告発文書の中で、ツイッター社はセキュリティ事故の量と頻度が尋常じゃないと言っており、GoogleやFacebookのセキュリティに比べて「数十年遅れている」とし、同社幹部がこの問題を隠蔽していると述べています。

そしてツイッター社による法的違反について、調査を開始するよう要求しました。

システムが古い

ツイッターの50万台あるサーバーの半分以上が古いソフトウェアを使っており、バックアップも不適切で、スタッフのパソコンも4分の1以上がソフトウェアの更新を無効にしている、と主張しています。

2021年4月にツイッター社の全てのデータセンターが破壊され、ツイッター全体が永久に停止する壊滅的な障害があった際には、かろうじて回避することができたと述べました。

このときツイッターのエンジニアは24時間体制で問題を修正し、問題が公になることはなかったといいます。

全てのエンジニアがアクセスできた

またほぼ全てのスタッフがアクセスするべきでないデータやシステムにアクセスできてしまうとし、このようなことはこうした企業では前例がないのだという。

これは低レベルの作業しか許可されていないエンジニアもアクセスできると言っており、またその記録が保存されていないと主張しました。

「すべてのエンジニアがアクセスできた。誰がその環境に入り、何をしたのかのロガーはなかった」

解約したユーザーの個人情報を削除していない

またユーザーがアカウントを解約した後に、個人情報を完全に削除していないとも。

このため、同社はしばしばユーザーの個人データを見失っていると主張しており、ツイッター社とFTCの個人情報に関する同意に関し、「一度もコンプライアンスを順守したことがない」と述べました。

「これは政府に警告するほど深刻なものだ」

ボット/スパムアカウント数の隠蔽

イーロン・マスク氏が主張している「ボット/スパムアカウントの数」についても隠蔽し、マスク氏や投資家を欺いていると言っています。

ザトコ氏によると、公表されている数よりも実際にははるかに多くのスパムアカウントがあり、mDAU数(収益につながるアクティブユーザー数)は同社のイメージや価値と結びついているため、スタッフは正常にカウントするモチベーションがないとしています。

さらにツイッター側とマスク氏の間で、総ユーザー数に対するボットの割合とmDAUに対するボットの割合に食い違いがあるとも指摘しています。

外国のエージェントを雇っている可能性がある

またツイッター幹部がインド政府のエージェントと思われる2人の人物を雇い、内部データや情報に監視なしでアクセスできる立場に置いた、と主張しています。

そういえばアグラワルCEOはインド出身でしたね。

これに関係するかは不明ですが、ツイッターの社員だったアーマド・アブアンモという人物は、サウジアラビアのエージェントだったとして今年有罪判決を受けています。

ユーザーはショックを受けるだろう

ザトコ氏はこうしたセキュリティ上の欠陥は、米国の国家安全保障と民主主義全体に対する脅威となっているとし、

「これらの問題が修正されなければ、規制当局、メディア、ユーザーは、Twitterのセキュリティの基本が著しく欠けていることを知り、ショックを受けるだろう」

これらのセキュリティの欠点を認識することは、ツイッターのビジネスを正しく評価するための基本であり、これらの問題を投資家や取締役会に隠すことは「著しく誤解を招く」ことだ、と主張しました。

このリークを受けて市場は反応し、ツイッター社の株価は急落しました。

ペイター・ザトコ氏について

ザトコ氏とは何者か・・・プログラマーでネットセキュリティの専門家です。

一方で「Mudge(マッジ)」として知られる有名なハッカーでもあり、ハッカー集団「L0pht」や「Cult of the Dead Cow」で主導的な役割を果たしました。20年ほど前には「30分でネットを遮断できる」と議会で発言したという。

いわゆる道徳的なハッカーとして、Google、Stripe、モトローラ、米国防高等研究計画局(DARPA)などの要職を務めた実績があります。また大統領へ助言なども行っています。

2020年11月にジャック・ドーシー前CEOに請われてツイッター社のセキュリティ部門の幹部に就任し、幅広い権限を与えられました。

ところがザトコ氏によると、その後ドーシー氏はやる気を無くしてしまったように見え、会議にもほとんど出席しなくなったという。それは「病気のように見えた」とも。

そういえばその頃、ハンター・バイデンのラップトップ記事を検閲をしたことでFacebook、Google、ツイッターの各CEOが議会の公聴会に呼ばれています。その際にドーシー氏は、共和党のテッド・クルーズ上院議員からガンガンに詰められていました。他のCEOたちはのらりくらりとかわしていましたが。

けっきょくドーシー氏は2021年11月に退任し、現在のパラグ・アグラワルCEOに代わってから確執が起きたといい、2022年1月に解雇されています。

ザトコ氏がツイッター社に入社する前、アグラワル氏が技術部門の最高幹部だったことから、2人の間には緊張感があったという。

解雇の表向きの理由は「非効率的なリーダーシップと業績不振」というものでしたが、CNNは関係者の話として「同社のセキュリティに口を挟んだことによる報復」と報じています。

ツイッター社は反論

このリークを受けてツイッター社の広報担当は、ザトコ氏は上記理由で解雇されていると述べました。

その上でザトコ氏の主張は「矛盾と不正確さに満ちており、重要な文脈を欠いている」といい、「ザトコ氏の主張と日和見的なタイミングは注目を集め、ツイッターと顧客や株主に損害を与えることを目的としているようです。」とコメントしました。

「セキュリティとプライバシーはツイッターにおいて長い間優先されたことであり、今後もそうあり続けるでしょう」

またアグラワルCEOは社内メモで、このリークに異議を唱えることを誓っているという。

マスクvsツイッター裁判の影響

マスク氏はツイッター社を1株あたり54.20ドル(総額440億ドル)で買収するとしていましたが、その過程においてツイッター社がボット/スパムの数を正確に報告していないとして、買収から撤退する意向を示していました。

これにツイッター社が異議を唱え、裁判が10月から開始する予定です。

これまではツイッター社の主張の方が強いと言われていましたが、このタイミングでのリークによって、裁判所がマスク氏の主張に注目する可能性があると言われています。

リークを受けて、マスク氏の弁護士アレックス・スピロ氏はザトコ氏に対してすでに召喚状を発行したという。

「彼の退社と他の主要社員の退社は、我々が発見してきたことに照らして不思議だと感じた」と語りました。

なおザトコ氏は、今回のリークはマスク氏の買収問題とは関係なく、個人的な付き合いもないという。

確実にリークの時代

とりあえず現時点で出ている情報をざっくり浅くまとめました。

あくまでザトコ氏の主張なので、事実かどうかは今後裁判によって検証されるのでは。ただ裁判はデラウェア州で行われますからね。あそこはバイデンの地元なので。

まあ言えるのは前から予想してきた通り、リークの時代は完全に来ているということ。こういうのは山羊座時代の終わりとして出てきてもおかしくない事なので、まあ今後もあるでしょう。そういえばガーシーのサロンもオープンしたようですし。

ツイッターのホロスコープは疑惑が出てもおかしくない感じだし、なにか大きな異変が暗示されてもいるので、この買収劇には注目していました。なのでここではけっこう何度も取り上げてきましたが。

しつこく取り上げると・・・の法則発動かな。

いずれにしても今後の情報に注目していきます。