Business

「倫理的なハッカー」によるツイッターの内部告発は、企業のセキュリティ強化を促す法制定につながるか

ツイッターの元セキュリティ責任者による内部告発が波紋を呼んでいる。「倫理的なハッカー」であるザトコの行動には既視感もあるが、議会を突き動かして強力な法律を成立させ、セキュリティの強化につながるのだろうか──。『WIRED』エディター・アット・ラージ(編集主幹)のスティーヴン・レヴィによる考察。
Peiter Zatko
ツイッターの元セキュリティ責任者ピーター・ザトコ。同社のセキュリティに関する問題を告発すべく戦略を練り、支援者たちと共に組織的なキャンペーンを展開していた。Photograph: Matt McClain/The Washington Post/Getty Images

ダニエル・エルズバーグが勇敢かつ重大な決断をしたのは、1969年末のことだった。エルズバーグは米国政府の仕事を請け負っていたランド研究所の従業員として、ベトナム戦争に勝利を収められるという政府高官の“保証”とは矛盾する機密文書を閲覧できる立場にあった。そこで彼は文書を密かにコピーし、翌年には議会に、次に報道機関を通じて公にしようとしたのである。

こうして1971年6月、『ニューヨーク・タイムズ』がのちに「ペンタゴン・ペーパーズ」と呼ばれることになる一連の記事の第1弾を発表した。この記事を封じ込めるために政府は訴訟を起こし、裁判が進むなかでエルズバーグは問題の文書を『ワシントン・ポスト』にリークしたのだ。

そのころまでには米連邦捜査局(FBI)がエルズバーグを捜査していたが、彼は自分が内部告発者であるとは公に認めていなかった。エルズバーグが真実を明らかにしたのは、71年6月30日に最高裁が『ニューヨーク・タイムズ』の記事公開の継続を認める直前である。エルズバーグは逮捕され、窃盗と共謀の罪で起訴されたが、政府に不正行為があったことだけを理由に釈放された。

画策されていたTwitter問題の告発

時代は変わって2022年、“マッジ”のハッカー名をもつピーター・ザトコは自分なりの決断を下した。ザトコは20年11月に当時のツイッターの最高経営責任者(CEO)だったジャック・ドーシーが、同社の慢性的な欠陥に対処するために抜擢したセキュリティ専門家である。ところが、現CEOのパラグ・アグラワルと衝突し、今年1月に解雇された。

ザトコは、ツイッターの経営陣がセキュリティ問題を解決するための措置を講じておらず、アグラワルが取締役会、株主、規制当局に対し、それらの欠陥について嘘をついていると確信していた。そこでザトコは、エルズバーグのように情報を公開することを決意したのである。

毎週開催のイベントに無料参加できる!『WIRED』日本版のメンバーシップ会員 募集中!

エルズバーグとは異なり、ザトコは彼のような人々を支援し、法的問題を回避できるようにするために特別に設立された非営利団体「Whistleblower Aid」のサービスを利用できた。この非営利団体の共同設立者であるジョン・タイは3月にザトコに会い、協力することに同意している。

ザトコと彼の協力者たちは、ツイッターの不正行為疑惑を暴露するために戦略を練り、組織的なキャンペーンを開始した。ザトコらは、米証券取引委員会(SEC)や米連邦取引委員会(FTC)、米司法省(DOJ)など、考えられるすべての機関に訴えを起こしたのである。ザトコはいくつかの議会委員会の職員と面会しており、今後は証言に立つ予定だ。

最も劇的だったことは、ザトコらがある議会委員会から告発がリークされるように画策し、ニュースにしたことである。『ワシントン・ポスト』CNNがこのリークを受け、8月23日に情報解禁協定の下で記事が公開された。

ザトコは両メディアのインタビューに応じ、どちらもザトコを丁寧に扱った。ワシントン・ポストのカメラマンが撮影したザトコと鏡に映る彼の姿(記事冒頭の写真)は神々しい雰囲気に満ち、芸術的でさえあった(これとは対照的にアグラワルの写真は、暗い色のパーカーを着てどこかの会議場を憂鬱そうに歩き回っている姿だった)。

フェイスブックの内部告発との相違点

このすべてに見覚えがあるような気がするなら、それは昨年も別の内部告発者で同じような展開が見られたせいだろう。その当人であるメタ・プラットフォームズ(旧社名はフェイスブック)の元プログラムマネージャーのフランシス・ホーゲンも当局や議会で証言に立ち、人気ドキュメンタリー番組「60 Minutes」や『ウォール・ストリート・ジャーナル』で華々しい姿を見せた。

Most Popular

そしてちょうどいいタイミングで、編集された文書が議会の友人たちからリークされている。彼女の内部告発をお膳立てしたのがザトコと同じジョン・タイだったことは、偶然ではないだろう。

良心の内部告発者は、組織的な不正行為が存在する限りこれまでも存在してきた。それがテクノロジー分野においては、一種のトレンドのようになっている。

原因のひとつとなったのが、特に企業の不正をSECに報告するような場合に内部告発者を保護する法律が、最近になって施行されたことだ。一方でこうした現象は、かつての理念をあきらめてしまったように見える雇用主に対し、従業員たちがうんざりしている状況も反映している。「内部告発は成長産業なのです」と、かつてNSAを内部告発したあとに自分の組織を立ち上げたタイは言う。

「WIRED Thursday Editor's Lounge」本格始動!いまいちばん会いたいゲストに“公開インタビュー”。毎週木曜夜のオンラインイベントをチェック!(詳細はこちら)

しかし、ザトコの事例は、エルズバーグやホーゲンの事例ほど自明なものではない。後者のふたりの場合は信頼性に問題がなかった。ふたりが暴露した内容はリークした文書に記載されているものだったので、信頼性を補強する必要はなかったのである。

これに対してザトコの告発は、企業の不正と詐欺行為を理屈っぽく並べ立てて説明する長ったらしいものだ。それを裏付けているのは、電子メールとツイッターのセキュリティに関する外部調査報告書の草稿である。

ツイッターはザトコの訴えについて、「不正確な情報に満ちている」とコメントしている。同社のバイスプレジデントのレベッカ・ハーンは『ワシントン・ポスト』に対し、「セキュリティとプライバシーはずっと以前からツイッターの全社的な最優先事項です」と語っている。

「倫理的なハッカー」であるザトコ

わたしが知る限り、実際のところザトコは自称しているように「倫理的なハッカー」である(自慢話になってしまうが、この言葉には1984年にわたしがつくった正義の“コードの魔術師”たちのメンタリティを表す表現「ハッカー倫理」のDNAが詰まっている)。「L0pht」や「Cult of the Dead Cow」といったハッカー集団の出身であるザトコは、過去に議会で証言したり、米国防高等研究計画局(DARPA)で働いたりしたことがあり、最近ではオンライン決済大手のStripeで重要なポストを担っていた。

ザトコのメッセージに共通することは、「セキュリティを向上させたい」という強い思いである。「彼は、あなたが求めているかもしれない最も信頼できる人物であり、何ごとについても驚くほど明確に話す素晴らしいやつです」と、Whistleblower Aidのタイは語る。

ところが、対立する立場にいる場合は、そのような“素晴らしいやつ”ではない。ザトコの告発は、標準を下回るツイッターの慣行が意図的な不正行為と関連していると主張する84ページにもわたる執拗な主張である。予想通り、一部にはザトコの信頼性を疑問視する声も出てきている。

そしてこの話には、常に議論を巻き起こすイーロン・マスクの視点も入ってくる。タイは自分やザトコが、ツイッター買収の約束をすっぽかそうとしているこのテスラの億万長者と示し合わせたことを否定している。

実際、このドラマのような展開が始まった4月以前から、ザトコは内部告発のネタをしっかりとため込んでいた。それにもかかわらず、ザトコの告発はこの地雷原にまっすぐ舵を切り、ボットの数に関するマスクの不満へのツイッターの対応が不誠実なことを、告発の一部の章すべてを使って主張している。見返りがあってやっているようには見えない。

企業のセキュリティ強化を促す法制定につながるか

しかし、これは内部告発のダイナミズムの一部である。わたしたちジャーナリストは、重要だが難解な問題を人間味のあるものにするために、どんな機会でも貪欲に掴もうとする。誰もが真実を語る者に興味をそそられるが、本当に重要なことは、そうした人々がどんな真実を語っているかということなのだ。

Most Popular

ザトコが暴露したセキュリティ問題も、謎めいたハッカー名をもつ熱血漢の人物がかかわっていなければ、これほどまで注目されることはなかったのではないだろうか。正直に言って、ツイッターがデータの安全性を保つという明らかに困難なタスクのリーダーではないことは、周知の事実なのだ(かつてマスクやキム・カーダシアン、バラク・オバマといった有名人のアカウントが10代の若者によってハッキングされたのは、その好例だろう)。そのために、創業者のドーシーは事態を改善する目的でザトコを連れてきたのである。

ザトコの告発は、ドーシーとの何回かのミーティングで彼があまり話さなかったと批判している。しかし、ツイッターの現CEOについては、最悪の慣行を修正しようとしたザトコの試みを妨害する明らかな悪人として、痛烈に非難している。それがこの告発を面白い読み物にしているのだ。

しかし、本当に重要なストーリーとは貧弱なセキュリティのことであり、なぜ一部の企業がほかの企業よりもひどいのかということである。

だからといって、内部告発者に勇気がないと言っているわけではない。保護されるようになったとはいえ、一度は秘密を守ると誓った情報を暴露して自分を世間の目に晒すことは、リスクの高い企てだ。そして、間違いなく敵は強大である。

それでもザトコは、大好きであると公言している会社に打撃を与えたことで、その会社をさらに衰退させることにはならないだろうか。

なにしろ、マスクが約束を撤回することになれば、会社にとって大惨事である。ユーザーは単純にサービスに対する信頼を失うかもしれない。弱体化したツイッターは、データの安全を適切に守るためのリソースが少なくなる可能性がある。どんなによく言ったとしても、ザトコはすでに幹部の退職が始まっている会社にさらなる混乱を引き起こしたのだ。

それでもわたしは、ザトコの告発が公開されたことを称賛する。特に彼の暴露が議会を突き動かし、強力な法律を成立させることで、コンピューターセキュリティを実際に強化するのであれば、なおさらである。

ザトコとアグラワルの間の緊張関係は、CEOとセキュリティ専門家の間でよく見られるものだと指摘されてきた。しかし、もしセキュリティのベストプラクティスを無視することを「犯罪」とし、経営トップや役員に責任を負わせる法律ができれば、この緊張関係はもっと協力的なものになるに違いない。

しかし、ザトコが再び議会で証言しても、そのような法律はできないだろう。実現には、もっと多くの内部告発者が必要なのだ。

WIRED US/Edit by Daisuke Takimoto)

※『WIRED』によるTwitterの関連記事はこちら

Related Articles
Twitter logo atop the Twitter headquarters in San Francisco, California, United States
ツイッターの内部告発に潜む「セキュリティの深刻な問題」の中身
ツイッターの元セキュリティ責任者による内部告発は、同社が抱えていたセキュリティの深刻な問題を明らかにしている。なかでも注目すべきは、システムの操作を記録・監視する体制に乏しく、エンジニアがユーザーのデータまで閲覧できる状態にあったという指摘だ。
Elon Musk
ツイッターのセキュリティに関する内部告発は、イーロン・マスクの主張を後押しすることになる
ツイッターがセキュリティ上の深刻な問題を隠蔽していたとして、同社の元セキュリティ責任者が内部告発して注目されている。この告発はイーロン・マスクによる買収を巡る裁判に、マスクの主張を後押しするかたちで影響する可能性が高い。

毎週のイベントに無料参加できる!
『WIRED』日本版のメンバーシップ会員 募集中!

次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編記事)を、週替わりのテーマに合わせてお届けする会員サービス「WIRED SZ メンバーシップ」。毎週開催のイベントに無料で参加可能な刺激に満ちたサービスは、無料トライアルを実施中!詳細はこちら