情報漏洩を隠したUberの元セキュリティ主任、危うく懲役刑を免れる

恥ずかしいことを隠して自分を良く見せようとするのは人間の性です。
仕事の場合、誰にも気づかれないようにと自分や会社の不手際やミスを隠すことにつながることがあります。このようなアプローチはプロ意識に欠け、かえって問題や損害を大きくすることになります。
このような人間の本性が、ライドヘイリング（大規模な配車サービス）とフードデリバリーの会社Uberの元最高セキュリティ責任者（CSO）であるジョー・サリバン（Joe Sallivan）の破滅につながったと検察は言っています。

2023年5月4日、サリバンは2016年の情報漏洩に関連する司法妨害と重罪の隠蔽で3年間の執行猶予を言い渡された。
その情報漏洩では、2人のハッカーが、米国内の約60万人のドライバーの運転免許証番号を含む、5700万人のUberのライダーとドライバーの個人情報（名前、メールアドレス、電話番号）にアクセスした。

このような大規模なデータ漏洩はまれですが、前代未聞ではありません。
しかし、この事件が特に興味深いのは、企業の最高セキュリティ責任者（CSO）が誤った処理で刑事責任を問われ、刑務所に入る可能性が現実的になったのが初めてだということです。

Uberは、顧客や契約企業に対し、情報漏洩について1年間も秘密にした。
この秘密は、同社に約1億4800万ドルの罰金を課しただけでなく、最も重要なことは、ハッカーによるデータの悪用の結果となりうる、顧客とドライバーが直面する個人情報の盗難・詐欺・その他のリスクから身を守るためのタイムリーな措置を取る可能性を奪ってしまったことです。

“教皇フランシスコであっても、次回の犯罪者は刑務所に行く”

2017年8月にUberの新CEO、ダラ・コスロシャヒが「偶然の到着」していなければ、サリバンは隠蔽を逃れていた可能性が高い、と検察側はと主張している。
「2016年のデータ漏洩の数千万人の被害者は、決してそれを知らずに終わってしまう可能性もあった、と信じるに足る理由がある」と、彼らは言った。

検察側は、サリバンが実際に刑務所に服役すること（15ヶ月の懲役刑）を要求した。
最終的に非親告罪となったのは、平手打ちのように思えるかもしれませんが、ウィリアム・オーリック判事は、サリバンがデータ漏洩を隠し、嘘をついたことで刑事責任を問われた史上初のセキュリティ幹部だったからこそ、慈悲をかけたと説明しました。
そして、この訓話から学べず、同じ罪を犯すような者はより厳しい処遇を期待すべきと警告した。
彼は
「明日、同じような事件があったら、たとえ被告が教皇フランシスコのような人格を持っていたとしても、その人は刑務所に行くことになる」
と言った。

ここで、この事件にあまり注目していなかった方や今までの筋を思い出したい方のために、サリバンが失脚するに至った経緯を簡単に説明したいと思います。

始まり

サリバンは、Uberのオンラインシステムを露呈した2014年のデータ漏洩の余波に対処するため、2015年4月にUberの初代最高セキュリティ責任者として入社した。
連邦検察官を経て、PayPal、eBayに勤務し、FacebookのCSOを5年間務めたサリバンに、Uber社は大きな期待を寄せていたに違いない。
2014年の情報漏えい事件で評判を落としたUberは、サリバンが自社のセキュリティ対策とイメージアップに貢献してくれることを期待していた。

しかし、新しい仕事に就いて1年半、サリバン自身もセキュリティクライシスに直面した。
2016年11月、サリバンは数百万人のUberユーザーとドライバーの個人情報を漏洩させる新たな侵害を発見した。
タイミングとしてはこれ以上ないほど悪く、彼が2014年の情報漏洩とそれ以降にUberが実施したセキュリティ対策について、FTC（米国の連邦取引委員会）に証言したわずか10日後に、この新たな情報漏洩が発生しました。
サリバンは証言の中で、Uberがアカウントデータを暗号化し、GitHubのリポジトリからAmazon Web Servicesのアカウントのキーを削除したと主張していた（これらは2014年の情報漏洩につながった脆弱性の一部であった）。

それは決して真実ではなかったようです。
2016年の情報漏洩は、「2014年のデータ漏洩につながったのと同じ欠陥のあるセキュリティ慣行によるもの」であったと、捜査当局が後に発見した。
検察によれば、この事実は、経験豊富なセキュリティ担当者であるサリバンにとっては「ほぼすぐに」分かることであった。
サリバンがFTCへの証言で、宣誓の下で行った発言を含め、すでにUberの暗号化の実装と従業員のデータへのアクセスの程度を誤って説明していたことが問題となった、と検察側は指摘している。
例えば、Uberは2015年3月以降、暗号化されていない個人情報をAmazon Web Services（Amazonのクラウドコンピューティングプラットフォーム）に保存するのをやめたとサリバンはFTCに嘘をつきましたが、実際のところ、「暗号化されていない個人情報は少なくとも2016年11月（2人のハッカーがそのデータを大量に盗んだ時点）までAWSに残っていた」。

サリバンはその時、難しい選択を迫られた。
規制当局に当時の2016年データ漏洩を認め、自身と会社の評判を落とすか、それともすべてを隠蔽し、誰にも知られないことを願うか。
サリバンは後者を選んだ。

隠蔽工作：バグ・バウンティと見せかけた口止め料

サリバンに対して証言したUberの元弁護士、クレイグ・クラークによると、ユーザーの個人情報が盗まれたことを知ったサリバンは、「Uberのバグバウンティプログラム（脆弱性報奨金制度）内の、セキュリティ研究者との標準的なやり取り」として、この情報漏洩を隠蔽する計画を思いついた。
Uberのバグバウンティプログラムに基づく支払いは当時、重要な問題に対して1万ドルだったにもかかわらず、サリバンは（その時はまだ匿名だった）ハッカーに10万ドルという一括金額を提示した。この金額は彼らからのゆすり強要だった。
サリバンはその後、（その時点でまだ自分の正体を明かしていない）ハッカーらとNDA（秘密保持契約）をサインすることに合意し、そのNDAの中でハッカーらは情報漏洩について口をつぐむことを約束した。

米司法省によると、この時点で元Uberのセキュリティ責任者は、社内の法務チームからも真実を隠していた。
Uberが2014年の情報漏えいをFTCと和解させている最中、サリバンはUberの自社の弁護士に新たな情報漏えいについて何も言わず、代わりに「彼と彼のチームがデータセキュリティに関して行った仕事を誇示した」。
しかしサリバンは、Uberの法務部や他の管理職も知っていたと主張し、裁判中に当時件のこのような経緯説明について異議を唱えた。

UberのCEOであったTravis Kalanickが策略にはまったかどうかについてはどうでしょうか…
Kalanickはデータ漏洩に関連する何かの罪で起訴されていない。
それでも、サリバンの判決でOrrick判事は、前CEOをサリバンと同じように「罪深い」と呼んだ。

真実の暴露

2017年8月にダラ・ホスロシャヒ（Dara Khosrowshahi）がUberの新CEOに就任した後、サリバンはしばらくの間、茶番を続けていたと検察は主張している。
中でもサリバンは、ハッカーがデータを持ち出したことはなく報酬を得る前に身元を確認されたと、ホスロシャヒに書き送ったと検察は言う。

しかし、2017年11月、サリバンは解雇され、一方、Uberは情報漏洩を公にした。
情報漏洩に関する声明で、Khosrowshahiはハッカーがユーザー情報を含む「ファイルをダウンロード」したことを認め、影響を受けた人々に通知しなかったことについて謝罪した。
サリバンの裁判では、（現在では正体を特定されている）ハッカーたちは、確かに、偽名でUberと秘密保持契約を結び、データのダウンロードや保存はしていないと虚偽の主張をしたと証言した。

サリバンを解雇した後、Uberは新しいセキュリティチームを雇い、今後このような事件が起こらないようにすると誓った。
しかし、Uberが報告方法を変えたとしても、同社は2016年以降、複数の大規模なデータ漏洩（2022年9月のLapsus$ハッカーグループによる攻撃など）を被るのを防ぐことはできなかった。

結果は個人的なものに

サリバンについては、Uberからのあまり芳しくない退社は、彼のキャリア観を台無しにするものではありませんでした。
Uberを解雇された半年後、サリバンはCloudflareに最高セキュリティ責任者として入社。
彼は2022年7月に裁判の準備のためにCloudflareを休暇し、彼のLinkedInページによると、陪審が隠蔽に関連する2つの重罪で有罪を宣告した矢先に、10月に退社したのである。

2023年1月、サリバンは人道的な非営利団体であるウクライナ・フレンズのCEOに任命された。
判決でサリバンは、データ漏洩の処理における自分の過ちを認めた。
「透明性のために戦うべきでしたし、それ以来、あらゆる場面で、それを徹底してきました。私は教訓を学びました」と彼は言った。

業界にとっての影響

この事件は、業界全体にとってゲームチェンジャーとなる可能性があります。

まず第一に、データ漏洩を隠蔽することは最悪の行為であるという明確なメッセージとなります。

また、ユーザーのセキュリティを犠牲にしてでも自分や会社の評判を守ろうと考える人たちに対する強い抑止力にもなるはずです（期待）。

実際に刑務所に入る可能性があるのであれば、最高セキュリティ責任者やその他の上級セキュリティ専門家は、自分自身の過失が原因である場合も含めて、データ漏洩を隠蔽しないほうがいいと思うようになるだろう。

この事件の展開は、ハッカー（特に、「ホワイトハット」の行動とは行動が似ていない、身元を明かさないハッカー）に身代金を支払うことは、何倍もの裏目に出る恐ろしい決断だということを証明しています。

もしセキュリティ担当者らがこの事件の教訓を無視して、元UberのCSOと同じ過ちを繰り返せば、刑務所に入ることになったとき、自分以外を責める人は誰もいないでしょう。
これで、警告は周知しているが、これで十分になるのだろうか。