2016年末、ハッカーたちはUberのドライバーと乗客5,700万人以上の個人データを盗みました。Uberが情報漏洩を公表するまでに約1年かかり、さらに2年後に2人の男が犯行を認めました。そして、その余波は今も続いています。木曜日、司法省はUberの元最高セキュリティ責任者ジョセフ・サリバン氏を、2016年に連邦取引委員会(FTC)の捜査官に事件を報告しなかったとして、司法妨害と重罪隠蔽の罪で起訴しました。
問題となっているのは、サリバン被告が情報漏洩を報告した遅さだけではない。ウーバーは既に2018年に、データ漏洩に関する州法違反(通常45日以内の通知を義務付ける)で全米の司法長官と1億4800万ドルを支払って和解している。しかし、新たな起訴状は、サリバン被告が2016年に社内で情報漏洩を積極的に隠蔽しようとした活動に加担し、盗まれたデータを削除し、事件に関する秘密保持契約に署名させる見返りに、同社のバグ報奨金プログラムを通じてハッカーに10万ドルを支払ったと主張している。裁判所の文書によると、サリバン被告は、2014年に発生したウーバーのデータ漏洩と同社のデータセキュリティ対策全般に関する既存の調査で連邦取引委員会(FTC)に協力しながら、この活動を行っていた。
この事件で描かれた状況は特殊かつ極端であり、連邦検察官が他の事件でこの戦略を用いるには、全く同じ条件が揃う必要があるため、広く適用可能な前例となる可能性は低い。しかし、サリバン氏の起訴状は、データ侵害への対応をめぐって企業幹部が刑事訴追され、最長8年の懲役刑に直面した米国初の直接的な事例となる。したがって、この起訴状は、このような機密性が高く、かつ重大な是正措置を怠った企業幹部に対する説明責任の新たな時代を告げる可能性を秘めている。
「訴状によると、ウーバーは2014年9月にハッキングを受け、FTCはその2014年のハッキングに関する情報を収集していたという。FTCは書面による質問への回答を求め、ウーバーに対し、宣誓供述書を提出する職員を指名するよう要求した」と、北カリフォルニア地区連邦検事デビッド・アンダーソン・サリバン氏は起訴状に関するコメントで述べた。サリバン氏はUberの書面回答の作成に協力し、FTCへの宣誓証言を行った指定役員でした。FTCへの証言提出から約10日後の2016年11月14日、サリバン氏は2016年のハッキング事件を知りました。サリバン氏は2016年のハッキング事件を報告義務を負っていましたが、報告しませんでした。サリバン氏は2016年のハッキング事件を一般市民とFTCから隠蔽しました。…2016年の支払い後、サリバン氏は2016年のハッキング事件を明らかにしなかったFTCへの声明を検討し、承認しました。
サリバン氏の代理人は木曜日、当時のウーバーの企業方針では「この件を開示すべきか、また誰に開示すべきかを決定する責任はサリバン氏や同氏のグループではなくウーバーの法務部門にあることが明確にされていた」と記者団に語った。
「当社は引き続き司法省の捜査に全面的に協力します」と、ウーバーの広報担当者は木曜日の声明で述べた。「2017年にこの事件を公表するという当社の決定は、正しい判断であっただけでなく、当社が現在事業を運営する上で掲げている透明性、誠実性、そして説明責任という原則を体現するものでもあります。」
2017年11月のブログ投稿で、2016年の情報漏洩を公表したウーバーのCEO、ダラ・コスロシャヒ氏は、2017年8月に同社に入社したばかりだったが、「なぜ今になってこの件について話しているのかと疑問に思う人もいるかもしれない。私も同じ疑問を抱いていた」と記した。さらに、「このようなことは決して起こるべきではなかった。私は言い訳するつもりはない」と付け加えた。
コスロシャヒ氏は2017年、サリバン氏とセキュリティ弁護士のクレイグ・クラーク氏を解雇した。ウーバー入社前はフェイスブックの最高セキュリティ責任者を務めていたサリバン氏は、現在、インターネットインフラ企業クラウドフレアの最高情報セキュリティ責任者を務めている。クラウドフレアのCEO、マシュー・プリンス氏は木曜日のツイートで、「ジョー・サリバン氏の疑惑を知り、残念に思います。(中略)機会があればいつでも、ジョーは我々が可能な限り透明性を高めるよう主張してきました。ジョー氏と彼の家族のために、この問題が速やかに解決されることを願っています」と述べた。
Uberが2017年に侵害を通知した後のメディア報道によると、サリバン氏以外の幹部や従業員も、この侵害をバグ報奨金制度のように扱い、この仕組みを通じてハッカーに金銭を支払う計画を承認し、実行を支援していたという。「Uberを悪く見せたい人たちが、これは隠蔽工作だとすぐに示唆したことに驚き、失望しました」と、サリバン氏は2018年のニューヨーク・タイムズ紙への声明で述べている。
ウーバーで長年最高情報セキュリティ責任者を務め、7月に同社を去ったジョン・フリン氏は、2018年2月に上院商務委員会で、ウーバーは「消費者に報告しなかったことで失策を犯し、法執行機関に報告しなかったことでも失策を犯した」と述べた。
サイバーセキュリティとデータプライバシー問題を専門とする法律事務所スペンサー・フェーンのパートナー、ショーン・トゥマ氏は、サリバン氏が2014年の同社のデータ侵害に関するFTCの調査で証言と協力を提供したため、特に注目されていると指摘する。2016年のFTC調査当時、司法省が定めた企業不正行為における個人の責任を問う基準では、Uberは調査への協力に対する評価、つまり「功績」を得るために、不正行為の責任者を提示する必要があった。
「FTCの規制当局は既にあなたのオフィスに来て、書類を精査し、宣誓供述書を取らせているでしょう」とトゥマ氏は言う。「そして彼らはおそらく、『何か新しいことが分かったら、これを補足する義務がある』といったことを言うでしょう。そして10日後、彼は別の違反を知ったのです」
Equifax から Yahoo まで、データ セキュリティの過去、現在、未来、そして社会保障番号の問題について知っておくべきすべてのこと。
法務アナリストの中には、この判例が脆弱性調査や侵害開示の文脈において重罪の隠蔽を構成する要素について過度に広範な解釈につながる可能性を懸念する声もある。善意のセキュリティ研究者であっても、意図せずしてコンピュータ詐欺・濫用法(CFAA)の条文に些細な違反を犯してしまうことがあるため、多くの脆弱性開示プログラムにはセーフハーバー条項が含まれている。もしこの判例が企業に些細なミスさえも報告させるよう強制すれば、脆弱性調査に萎縮効果をもたらす可能性がある。
「企業は、誰かが刑務所に入るまでデータ保護の方法を変えないだろうという、同じような話を何年も聞いてきました」とトゥマ氏は言う。「しかし、これは単なる典型的なデータ侵害通知のケースではありません。FTCの調査が行われていなかったら、これはどのような法律に違反していたのでしょうか? よくあるケースであれば、起訴されることはなかったでしょう。」
この訴訟は、企業の情報漏洩責任をより明確にするための手段を開発する試みである一方、消費者を真に保護するためには、より根本的な転換が必要だと主張する声もある。「企業プラットフォームの利用者には、基本的な権利と、それらの権利を侵害することに対する真の抑止力が必要です」と、データ所有権と完全性を扱うInruptでセキュリティを担当するダヴィ・オッテンハイマー氏は述べている。「これは企業の安全とガバナンスの問題ではなく、人権法の問題であるという意識改革が必要です。」
バグ報奨金制度の長年の支持者であり、コンサルティング会社Luta Securityを経営するケイティ・ムスーリス氏は、サリバン氏が他の幹部の関与を理由に起訴された唯一の幹部であるという事実も、誤ったメッセージだと指摘する。彼女は、CSOは自らの行動に責任を負うべきだが、都合の良い「最高犠牲者責任者」として位置づけられるべきではないと指摘する。
「ジョーだけを特別扱いするのは馬鹿げていると思います」とムスーリス氏は言う。「セキュリティと透明性に関する決定を、一人の幹部に委ねる企業は存在しません。決定に関わった幹部全員が責任を負っているだけでなく、このような状況に関与するバグ報奨金企業は、データ漏洩に関する法律を無視したり、秘密裏に報酬を受け取ることに同意したりしてはいけません。」
しかし、ハッキングされた機関からの保護や意味のある対応がほとんどなく、個人データが盗まれることにうんざりしている消費者にとっては、説明責任を果たすためのあらゆる試みは歓迎されるように見えるかもしれない。
WIREDのその他の素晴らしい記事
- スプレッドシートを駆使したIT担当者による投票権回復への取り組み
- 脳の根本的に新しいモデルがその配線を明らかにする
- 裁判所への侵入で2人のホワイトハットハッカーが刑務所に送られた経緯
- 正直に言うと、直接投票したほうがいい。思っているより安全だ。
- 次のサイケデリックな旅では、アプリがガイド役を務めます
- 🎙️ 未来がどのように実現されるかをテーマにした新しいポッドキャスト「Get WIRED」をお聴きください。最新エピソードを視聴し、📩ニュースレターに登録してすべての番組をチェックしましょう。
- 💻 Gearチームのお気に入りのノートパソコン、キーボード、タイピングの代替品、ノイズキャンセリングヘッドホンで仕事の効率をアップさせましょう
