ツイッター内部告発者が米議会で証言「中国とインドのスパイが社内にいる」

ツイッター元最高セキュリティ責任者が議会で証言

米現地9月13日にTwitter（ツイッター）社の株主の過半数が、イーロン・マスク氏に1株当たり54.20ドル＝計440億ドルで同社を売却することに賛成しました。

一方マスク氏は、ツイッターにおけるボット/スパムアカウント数について同社が虚偽の報告をしていると主張し、この取引から撤退を表明したため、ツイッター社がマスク氏を提訴、10月17日に裁判が始まります。

これについて先ごろ、ツイッターの元最高セキュリティ責任者だったペイター（ピーター）・ザトコ氏が、同社のセキュリティにおける重大な欠陥を告発しました。

ツイッター内部リーク爆弾「プライバシーとセキュリティにひどい欠陥」「外国のスパイがいる」元セキュリティ責任者が告発――現時点のざっくりまとめ

2022年8月24日

告発を受けてマスク氏側は、ザトコ氏に対して召喚状を発行し裁判で証言を求めていましたが、裁判所はこれを認めています。

そんな中、ザトコ氏が13日に米上院司法委員会の公聴会に出席し、議会で証言をしました。ザトコ氏はツイッター社における複数の外国のスパイの存在、データセキュリティ上の欠陥などについて宣誓証言しました。

またセキュリティ業務やユーザーデータの取り扱いについて政府や世間を欺き、利益を優先していると述べました。

Twitter "simply lacked the fundamental abilities to hunt for foreign intelligence agencies and expel them on their own", Peiter Zatko told the US Senate on Tuesday. https://t.co/MJOmtpbvOt

— The Wire (@thewire_in) September 13, 2022

ペイター・ザトコとは

ザトコ氏はハンドルネーム「Mudge（マッジ）」という有名ハッカーとして知られ、ホワイトハッカーとしてGoogle、Stripe、モトローラ、政府機関などで従事したキャリアがあります。

2020年11月にツイッター社の元CEOジャック・ドーシー氏に請われ、セキュリティ部門の最高責任者に就任したものの、ドーシー氏の辞任に伴い後任のパラグ・アグラワルCEOと対立し、1年ほどで同社から解雇されています。

実はザトコ氏はツイッター社と守秘義務契約を交わしていたことが明らかになっています。ザトコ氏は1月に解雇されましたが、同社の機密情報を公言しないよう、ツイッターが700万ドルを支払う事で6月に合意していたようです。

この和解の詳細はまだわかりませんが、関係者の話によると未払いの報酬に関する争いを解決したもので、今回の内部告発を妨げるものではなかったと言われています。

Twitter agreed to pay whistleblower $7M in June settlement: report https://t.co/W01MI9Vhk3 pic.twitter.com/n5jMivL4ec

— New York Post (@nypost) September 8, 2022

中国とインドのエージェントを雇っている

で肝心の議会証言の中身ですが、ザトコ氏によるとツイッター社の給与名簿に、中国の諜報機関のエージェントが少なくとも1人いたこと、またインドの工作員の名前も載っていたことなどを主張しました。ちなみにアグラワルCEOはインド出身です。

ザトコ氏は解雇の約1週間前に、中国の諜報機関MSS（国家安全保障省）のエージェントが少なくとも1人、ツイッター社に在籍していることを知らされたという。

ザトコ氏は、中国政府がツイッターのユーザーデータを収集できることを懸念しています。

またインド政府のエージェント2名を雇うことを余儀なくされたと主張しました。「このエージェントが同社のシステムやユーザーデータに監視なしで直接アクセスできることを許可したことで、ツイッターの幹部はユーザーとの規約に違反した」と述べています。

ザトコ氏がインドのエージェントについてツイッターの幹部に相談したところ、「もうすでにスパイの疑いのある人物が社内にいるのだから、もっといても問題ないだろう」とあしらわれたと言います。

さらにロシアとアグラワルCEOとのやり取りに「ショックを受けた」とも。

当時最高技術責任者だったアグラワル氏が、「ツイッターには物事を適切に行う能力とツールを持っていない」事を理由に、コンテンツの検閲と監視をロシア政府に丸投げできないか尋ねたという。

セキュリティ対策が10年遅れている

ザトコ氏によると、ツイッター社には不適切にアクセスしている人物を社内で特定する能力はないという。それを知ることができるのは、”外部機関が警告した場合だけ”だったと言っています。「外国の諜報機関を探し、自力で追い出す根本的な能力に欠けていた」と述べました。

またツイッター社は「サイバーセキュリティの欠陥により、悪用されやすくなっており、実際の人々に実害が出ている」と主張しました。

「ツイッターのデータセキュリティ対策は、業界標準から少なくとも10年は遅れており、同社幹部は防御力を高めるために必要な努力をする気がないようだ」

「Twitterは国民や議員を欺いている。彼らはどのようなデータがどこに保管され、どこから来たのかを知らないので、当然のことながらそれを保護することができない」と言いました。

また「従業員があまりにも多くのデータにアクセスできてしまう」と述べています。

新たにもたらされた情報によると、4,000人以上のツイッター社員がユーザーの個人情報にアクセスでき、それには正確な位置情報も含まれるようです。ツイッター社員は10分もあれば、ユーザーの所在地、自宅住所、電話番号、他のSNSなどを知ることができる、と言っています。

裏付けが乏しいか

以前取り上げたように、ザトコ氏は連邦取引委員会（FTC）、証券取引委員会（SEC）、司法省（DOJ）などに告発文書を提出しています。

これに対してツイッター社は「不正確で矛盾に満ちている」と否定していました。

ただ、今回ザトコ氏が議会に提出した証拠書類は数ページだったようで、以前Facebookの内部告発をしたフランシス・ホーゲン氏のケースでは数千ページだった事と比べると、裏付けが乏しいとする指摘もあります。

これがどのように判断されるかは今後の成り行きを見るしかないでしょう。