ソーシャルネットワーキング大手ツイッター社は、適切なセキュリティ対策を講じなかったことでユーザーを欺きプライバシーを危険にさらしたとする米連邦取引委員会の訴えを解決することに同意した。
FTC(連邦取引委員会)は木曜日に公表された訴状の中で、Twitterがユーザーの個人情報保護のためのセキュリティ対策を緩めていた結果、ハッカーがサービスの管理権限を掌握したと述べた。ハッカーは2009年初頭に2回、ユーザーが非公開に設定したTwitterメッセージ(ツイート)にアクセスし、バラク・オバマ米大統領やFox Newsなどの機関を装った偽のツイートを発信したとFTCは述べている。
FTCは訴状の中で、Twitter社がユーザーのプライバシー保護のために複数の対策を講じているとプライバシーポリシーで明記しているにもかかわらず、複数の共通セキュリティポリシーを策定・施行していなかったと指摘した。Twitter社は、容易に推測できる管理者パスワードを禁止するポリシーを策定・施行しておらず、また、管理者パスワードを個人のメールアカウントにプレーンテキストで保存することを禁止するポリシーも策定・施行していなかった。
FTCによると、ツイッター社はまた、ログイン試行の失敗回数が相当数に達した後に管理者パスワードを停止または無効にしなかったほか、パスワード有効期限ポリシーを実施しておらず、管理制御をアクセスを必要とする従業員のみに制限することも怠った。
Twitterは、ユーザーの個人情報の機密性保護に細心の注意を払っています。「Twitterは、ユーザーの情報を不正アクセスから保護するために、管理面、物理的、電子的な対策を講じています」と、同社のプライバシーポリシーには記載されています。
Twitterの法務顧問であるアレクサンダー・マクギリブレイ氏はブログ投稿で、同社はFTCが推奨するセキュリティ対策の多くを既に実施していると述べた。FTCが注目した2件のインシデントは、Twitterの従業員数が50人未満だった当時に発生し、合計55件のユーザーアカウントがアクセスされたとマクギリブレイ氏は述べた。
「簡単に言うと、私たちは攻撃の被害に遭い、ユーザーアカウントが不正アクセスされました」と彼は記している。「1月の侵入から数時間以内にセキュリティホールを塞ぎ、影響を受けたアカウント所有者に通知しました。同日中にブログ記事も投稿しました。4月のインシデントでは、ハッキングから18分以内にハッカーの管理者アクセスを削除し、影響を受けたユーザーに速やかに通知しました。また、このインシデントに関するブログ記事も、発生を初めて把握してから数日以内に投稿しました。」
FTCの訴状は、2件の攻撃について詳細に記述している。FTCによると、2009年1月、ハッカーは自動パスワード推測ツールを用いてTwitterのログインページに数千通りのパスワード推測を入力し、Twitterの管理者権限を奪取した。FTCはプレスリリースで、管理者パスワードは一般的な辞書に載っている単語だったと述べている。
FTCによると、ハッカーは管理者パスワードを利用して多数のユーザーパスワードをリセットし、その一部をウェブサイトに掲載した。これらのリセットパスワードを利用して、他の侵入者らが約9つのユーザーアカウントから偽のツイートを投稿した。そのうちの1つは、当時大統領に選出されたオバマ氏のアカウントから送信されたもので、15万人を超えるフォロワーに500ドル相当の無料ガソリンが当たるチャンスを提供するというものだった。
FTCによると、2009年4月、ハッカーがTwitter従業員の個人メールアカウントに侵入し、従業員のTwitter管理者パスワードに類似した2つのパスワードが平文で保存されていた。ハッカーはその後、従業員のTwitter管理者パスワードを推測することに成功した。ハッカーは少なくとも1人のTwitterユーザーのパスワードをリセットし、あらゆるTwitterユーザーの個人情報やツイートにアクセスできた。
「企業が消費者に対し、個人情報の安全性を約束した場合、その約束を守らなければなりません」と、FTC消費者保護局長のデビッド・ヴラデック氏は声明で述べた。「同様に、消費者が個人情報を非公開と指定することを認める企業は、その指定を維持するために合理的なセキュリティ対策を講じなければなりません。ソーシャルネットワーキングサイトを利用する消費者は、一部の情報を他者と共有することを選択するかもしれませんが、それでもなお、個人情報が非公開かつ安全に保管されることを期待する権利があります。」
この和解に基づき、Twitterは非公開の消費者情報のセキュリティ、プライバシー、機密性をどの程度維持・保護しているかについて、消費者に誤解を与えることを20年間禁じられます。また、包括的なセキュリティプログラムを構築し、10年間にわたり2年ごとに外部監査人による監査を受けることが義務付けられます。
グラント・グロスは、IDGニュースサービスで米国政府のテクノロジーおよび通信政策を担当しています。Twitterアカウント「GrantusG」でグラントをフォローしてください。メールアドレスは[email protected]です。
