新たに公開されたTwitter内部告発書には、数々の非難の的となる疑惑が渦巻いていますが、中でも1月6日の米国議会議事堂襲撃事件の際、Twitterが内部からの脅威を防ぐための本番環境のセキュリティ対策を徹底できなかったという、不安を掻き立てる事実が明らかになりました。Twitterの元セキュリティ責任者、ピーター・「マッジ」・ザトコ氏は、連邦取引委員会(FTC)、米国証券取引委員会(SEC)、司法省に提出した広範な新たな訴状の中で、Twitterのサイバーセキュリティに関する重大な過失を告発しました。不十分なデータ保護からFTC違反に至るまで、訴状は多岐にわたる疑惑を指摘し、Twitterには従業員の不正行為が発生した場合に自社を守る能力が欠如していたことを示唆しています。
この問題は、1月6日、暴徒集団が米国議会議事堂を襲撃した後に発覚しました。Zatko氏は予防措置としてTwitterの内部システムをロックダウンしようとしましたが、それが不可能であることが判明しました。
元セキュリティ責任者が内部告発でツイッターのサイバーセキュリティ管理の不備を非難
ザトコ氏は、エンジニアリング担当役員に対し、Twitterが暴徒を支持する可能性のある従業員による内部脅威から本番環境を保護するために、どのように本番環境を封鎖できるかを尋ねたと述べた。訴状によると、ザトコ氏は議事堂襲撃事件発生中、従業員が本番環境にアクセスしたり、損害を与えたりすることを望まなかったという。
しかし、彼が発見したのは、そのようなロックダウンは単に困難であるだけでなく、不可能とも言えるということだった。
「すべてのエンジニアがアクセスできました」と訴状には記されている。「誰が環境にアクセスし、何をしたかのログ記録は残っていませんでした。マッジ氏(ピーター・ザトコ氏)が、このリスクが高まった時期に、不正なエンジニアや不満を持つエンジニアからサービスの整合性と安定性を守るために何ができるか尋ねたところ、ほとんど何もできないことがわかりました。ログ記録はなく、データがどこに保存されているか、それが重要なデータかどうかは誰も知らず、すべてのエンジニアが何らかの形で本番環境への重要なアクセス権を持っていました」と訴状には記されている。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
Twitterは、ジョー・バイデン、ビル・ゲイツ、イーロン・マスクなど、複数の著名人のTwitterアカウントが侵害された大規模な攻撃を受け、2020年後半にザトコ氏をセキュリティ部門の責任者として採用しました。ザトコ氏はTwitter在籍中、基本的なセキュリティ管理と手順が欠如した社内を目の当たりにし、当時のTwitter従業員の半数にあたる約5,000人が業務遂行のために「機密性の高いライブプロダクションシステムとユーザーデータ」へのアクセスを許可されていたと、セキュリティ専門家として語っています。
ハッカーがTwitter独自の「管理」ツールを利用して暗号通貨詐欺を拡散
これは、通常、本番環境へのアクセスをロックする標準的なエンジニアリングおよびセキュリティ原則に反するものです。Twitterのような規模のテクノロジー企業のエンジニアは、通常、実際の顧客データではなく、ステージング環境とテストデータを利用します。しかし、ザトコ氏の調査によると、Twitterはそうではありませんでした。従業員は、実際の顧客データやその他の機密情報を用いて、本番環境で直接新しいソフトウェアを構築、テスト、開発していたことが判明したとザトコ氏は述べています。さらに、訴状によると、こうしたアクセスの多くは監視も記録もされていませんでした。
ザトコ氏は、ツイッターのセキュリティが侵害された結果、国会議事堂襲撃の際に内部からの脅威に対して脆弱だったと述べている。
この訴状は、Twitterのログ記録が不十分だったために、従業員が様々な行動をとることができた可能性も指摘している。適切なログ記録に関するTwitterの問題は、2020年7月15日に発生した仮想通貨企業やその他の著名人のTwitterアカウントへのハッキング事件に関するニューヨーク州金融サービス局(DFS)の調査によって既に明らかになっていた。DFSは、Twitterが「適切なアクセス制御とID管理、そして適切なセキュリティ監視」を含む適切なサイバーセキュリティ対策を欠いていたことを明らかにしていた。
さらに、訴状は、2020年のTwitterハッキング事件(当時ソーシャルメディアプラットフォーム史上最大規模のハッキング事件)発生当時、Twitterには最高情報セキュリティ責任者(CISO)がいなかったと指摘している。ザトコ氏は訴状の中で、Twitterが2011年のFTC同意命令に違反した一因としてこの点を指摘していた。(FTCの同意命令は、2009年に発生した複数のセキュリティインシデントにより、ハッカーがTwitterのシステムを管理下に置いたことを受けて発せられた。FTCとの同意条項に基づき、Twitterは包括的な情報セキュリティプログラムを構築・維持し、外部監査人による評価を受けるよう命じられていた。)
訴状によると、Twitterは2020年の攻撃当時、議事堂襲撃のわずか数ヶ月前に、最高情報セキュリティ責任者(CISO)も、情報セキュリティとプライバシーエンジニアリングに精通した幹部も配置していなかった。同社は2019年12月、前任のセキュリティ責任者マイク・コンバーティーノ氏がサイバーレジリエンス企業Arceoに移籍したため、CISOを失っていた。Twitterは2020年9月下旬に、クラウドデータ管理企業Rubrikに在籍していたリンキ・セティ氏をCISOとして採用するまで、後任を任命しなかった。つまり、Twitterは1月6日までの1年間の大部分を最高情報セキュリティ責任者(CISO)不在の状態だったことになる。
ザトコ氏はその後、2020年11月にセキュリティ責任者としてTwitterに入社した。
情報漏洩後、Twitterは新たなサイバーセキュリティ責任者を雇用
訴状によると、CISO不在の中、当時Twitterの最高技術責任者で現在はCEOであるパラグ・アグラワル氏が、2020年のTwitterハッキングで露呈したセキュリティの脆弱性を修正する上で重要な意思決定者だったという。
その後、2021年11月のジャック・ドーシー氏の退任後、アグラワル氏がCEOに就任し、今年1月にTwitterの経営陣を刷新した際、ザトコ氏とセティ氏の両名が退社した。Twitterはセティ氏の退任後、リア・キスナー氏を暫定CISOに任命した。
Twitter社は、報道機関への声明(TechCrunchに提供されたものも含む)の中で、ザトコ氏の内部告発を「矛盾と不正確さに満ちた虚偽の物語」として否定した。
アグラワル氏は、以下のメモで同じメッセージを会社の従業員に送っている。
新着情報: Twitter の CEO に就任した初の @paraga が内部告発の件について意見を述べる。
今朝、スタッフにこのメッセージを送ります。pic.twitter.com/WY4TCqbA5q
— ドニー・オサリバン (@donie) 2022 年 8 月 23 日
サラは2011年8月からTechCrunchの記者として働いています。彼女はReadWriteWebで3年以上勤務した後、TechCrunchに入社しました。記者になる前は、銀行、小売、ソフトウェアなど、様々な業界のIT業界で働いていました。
Sarah からの連絡を確認したり連絡を受けたりする場合は、[email protected]にメールを送信するか、Signal で sarahperez.01 に暗号化されたメッセージを送信してください。
バイオを見る
