元セキュリティ責任者が内部告発でツイッターのサイバーセキュリティ管理の不備を非難

ツイッター社の元セキュリティ責任者、ピーター・「マッジ」・ザトコ氏は、CNNとワシントン・ポストが初めて入手した衝撃の内部告発文書の中で、サイバーセキュリティの怠慢で元雇用主を非難した。

著名なハッカーであるザトコ氏は、ジョー・バイデン氏やイーロン・マスク氏を含む世界有数の著名人のTwitterアカウントがハッカーに乗っ取られたという、非常に公になった情報漏洩事件から数ヶ月後の2020年末、Twitterのセキュリティ部門の責任者として採用された。彼はそれから2年も経たないうちに同社を解雇された。

ザトコ氏はTwitterでの在籍期間は短かったものの、「甚だしい欠陥、過失、故意の無知、そして国家安全保障と民主主義への脅威」を目撃したと、7月6日付の内部告発書で述べている。この告発書は、米国証券取引委員会（SEC）、連邦取引委員会（FTC）、司法省に提出された。ザトコ氏はワシントン・ポスト紙に対し、Twitterの取締役会にセキュリティ上の欠陥を報告しようとしたが無視されたため、今回の内部告発に至ったと語った。

TechCrunchが確認した訴状の中で、ザトコ氏はTwitterには基本的なセキュリティ管理が欠如していたと主張している。数千台の従業員用ラップトップにはTwitterのソースコードの完全なコピーが含まれており、そのうち約3分の1のデバイスで自動セキュリティ修正がブロックされ、システムファイアウォールが無効化され、承認されていない目的でリモートデスクトップアクセスが有効になっていたとザトコ氏は述べている。ザトコ氏はまた、Twitterが従業員のコンピュータ上での行動を積極的に監視していなかったと非難した。その結果、「従業員が外部組織の要請を受けて、仕事用のコンピュータにスパイウェアを意図的にインストールしていることが繰り返し発覚した」と訴状は述べている。

ザトコ氏はまた、約5,000人のフルタイム従業員が同社の社内ソフトウェアに広範囲にアクセスでき、そのアクセスが厳重に監視されていなかったため、機密データにアクセスし、サービスの動作を変更することができたと主張している。

ザトコ氏は、Twitter在籍中、「発見されるのを待っている」脆弱性を数多く発見したと述べた。同社の50万台のデータセンターサーバーの半数が、保存データの暗号化といった基本的なセキュリティ機能をサポートしていない、あるいはベンダーから定期的なセキュリティアップデートを受けていない、時代遅れのソフトウェアで稼働していることを発見したという。これはTwitterが「異常に高い頻度」のセキュリティインシデントに見舞われていることを意味しており、2017年に信用調査会社Equifaxが約1億5000万人のアメリカ人の個人情報を盗まれた事件に言及し、「TwitterがEquifaxレベルのハッキング被害に遭うのではないかと当然ながら懸念した」と述べた。

訴状によると、Twitter社は政府機関に報告しなければならないほど深刻なセキュリティインシデントを毎週約1件抱えていたという。