ロイター通信、Uber が 10 万ドルをバグ報奨金のように偽装してハッカーに金銭を支払った可能性を報道

2017.12.18

2017 年の Uber のデータ漏えい(リンク先:英語)を覚えているでしょうか。


これは、実際には 2016 年に見つかった問題ですが、Uber のご都合主義により、同社が攻撃を認めるまで 1 年間もの期間が経過しました(リンク先:英語)。そうです、これは同社が保存しているデータが盗み出されたセキュリティインシデントです。


少なくとも運転免許証や登録車両の詳細など Uber に登録しているドライバーに関する合計で 57 万件の記録が漏えいしたと考えられています。


法的な見地からは、Uber 社は問題のもみ消しを図るのではなく、速やかに世界各国の司法機関にデータ漏えいを報告するべきでした。英国では、情報コミッショナーオフィスがこの問題についてさまざまなコメントを発表しています(リンク先:英語)


(引用文日本語訳) Uber の昨年 10 月のデータ漏洩に関する公表から、同社のデータ保護ポリシーと倫理に関する懸念が高まることになりました。[2017-11-22T10:00Z]


英国市民がデータ侵害による影響を受けた時期を特定し、ユーザーへの被害を軽減するための措置を講じることは、常に企業の責任です。データの漏えいを意図的に監督機関や市民から隠匿すると、企業に対してより多くの罰金が科せられる恐れがあります。[2017-11-22T17:35Z]


Uber は、2016 年 10 月のデータ漏えいが英国の約 270 万人のユーザーアカウントに影響を与えたことを認めました。Uber によると、漏えいしたデータには氏名、携帯電話の番号、電子メールアドレスが含まれています。[2017-11-29]


データ漏えいのニュースが報じられたときに、Uber が今回のデータ漏えいの背後で糸を引いていたハッカーに、問題を隠ぺいするため口止め料として 10 万ドルを支払ったのではないかという疑惑が浮かび上がりました。


ソフォスでは、この支払いがどのように行われたのか当時推測しており(リンク先:英語)、以下のようなコメントを残しています。


現在の Uber 経営幹部が、現段階で問題を公開できるのならば、今回の問題の経緯は非常に興味深いものになるかもしれません。私は、「10 万ドル」をバグ報奨金としての偽装してハッカーに支払った可能性があると思いますが、データ漏えいの問題を報告する必要がないとご都合主義的に決定した理由は謎のままです。


さて、ロイター通信が最近報じた独占情報(リンク先:英語)が正しいとすれば、私たちの推測と同じであり、ロイター通信は、バグ報酬金の支払いが、ハッカーへの支払いに利用された可能性が高いと主張しています。


バグの発見に対する報奨金は、セキュリティ上のバグ、欠陥、問題を発見した研究者に企業から提供される正式な報酬ですが、このような支払いは法律の元で適切に提供されるものであり、バグを見つけたユーザーの問い合わせ先やその行動については明確に規定されるべきです。


つまり、バグを証明するために稼動しているシステムをハッキングして、意図的にクラッシュさせる手法は当然ダメです。たとえば、物理サーバーを盗んだり、従業員を脅してパスワードを盗むなどの不法な手法ももちろん禁止されます。


また、実際にサーバーに侵入し、膨大なデータを盗み出し、身代金を受け取ってデータを返すことも禁止されています。身代金の支払いがセキュリティホールの発見と修正につながるとしても、これは違法です。


しかし、ロイターは、Uber 社の事件ではこのような経緯での金銭の授受があったとしています。


Uber から金銭を受け取ったハッカーは GitHub 上で Uber のパスワードを取り出すために「ある研究者」と契約しました。これらのパスワードは 5700 万件の記録とつながっており、Uber はその後、「ユーザーデータと引き換えに金銭を要求する」メッセージを受け取ったとロイター通信は報じています。


もちろん、このようなストーリーではなかったとしても、または、このような事案をバグ報奨金の支払いと呼ぶことが倫理的に受け入れられるとしても、


先に述べたように、Uber がデータ漏えいを報告する必要がないとどうして決定したのかという問題が残ったままです。


英国の情報コミッショナーオフィスが、今後どのような警告を Uber に対して出すのかを興味を持って見ていきたいと思います。


引用元

おすすめの記事はこちら