ハクソク

世界を動かす技術を、日本語で。

元WhatsAppのサイバーセキュリティ責任者がMetaは数十億のユーザーを危険にさらしたと述べる

259日前原文(theguardian.com)

概要

  • WhatsApp元セキュリティ責任者Attaullah BaigがMetaを提訴
  • 社内の重大なサイバーセキュリティ欠陥と規制違反を指摘
  • 1,500人以上のエンジニアがユーザーデータへ無制限アクセス
  • 報告後の報復措置と不当解雇を主張
  • Metaは主張を否定し、業績不良による解雇と説明

WhatsApp元セキュリティ責任者によるMeta提訴

  • 元WhatsAppセキュリティ責任者 Attaullah Baig によるMetaへの訴訟提起
  • Metaが アプリ内のサイバーセキュリティ欠陥 を無視したと主張
  • 数十億人規模のユーザー情報 が危険に晒された可能性
  • 米国政府の5億ドル制裁命令 違反の懸念
  • 1,500人のエンジニア がユーザーデータに無制限アクセス
  • 適切な監督や監査の欠如
  • 100,000件を超えるアカウントのハッキングや乗っ取り が毎日発生
  • Baigによる改善提案や懸念が 経営陣に無視 される状況
  • 成長重視で セキュリティ対策が後回し となる企業姿勢

Metaの対応と社内のやり取り

  • Baigは WhatsApp責任者Will CathcartMeta CEO Mark Zuckerberg に直接報告
  • 内部セキュリティテストで ユーザーデータの不正移動・窃盗 が発覚
  • 監査証跡が残らないシステム設計
  • Baigの報告後、 評価の引き下げや口頭警告 などの報復
  • 最終的に 2025年2月「業績不良」理由で解雇
  • Meta側は 「パフォーマンス不良による解雇」 と主張
  • 複数の上級エンジニアによる 業績評価の裏付け あり
  • 労働省(OSHA)は Baigの最初の申し立てを棄却

Baigの経歴と訴訟の詳細

  • Baigは PayPal、Capital One 等でのサイバーセキュリティ経験
  • 訴訟前に 証券取引委員会(SEC)等へも通報
  • 現在は 米連邦地裁(サンフランシスコ) で訴訟中
  • 復職、未払い賃金、損害賠償、規制当局によるMetaへの措置 を求める

Metaのデータ保護問題と社会的背景

  • Facebook、Instagram、WhatsApp を含むMetaのデータ保護問題が継続的に注目
  • Cambridge Analytica事件 を受けた2020年の 政府との和解 (2040年まで有効)
  • 不適切なデータ取り扱いに対する 規制強化 の流れ
  • Metaは 3億ユーザー を抱えるグローバルプラットフォーム

今後の展開と影響

  • 本件は Metaのサイバーセキュリティ体制 の信頼性に直結
  • 内部告発者保護や大規模IT企業の責任 に関する議論の深化
  • 規制当局による 追加調査や制裁の可能性
  • ユーザーへの 透明性向上や安全対策強化 の必要性

Hackerたちの意見

WhatsAppが西側や中国以外でのコミュニケーションのデファクトスタンダードになってることを考えると、これらのセキュリティやデータ処理の「弱点」は、バグじゃなくて機能なんじゃないかな。特定の情報機関にとっては絶好のチャンスだよね。子供たち、覚えておいて:エンドツーエンドの暗号化は、もし「端」が(信頼できない)第三者に完全に管理されてたら、意味がないからね。

オープンソースがなければ、エンドツーエンドの暗号化は無意味だよ。クローズドソースのコードの中に、暗号を破るコードを隠すのはそんなに難しくないからね。

西側以外って言ってるけど、アメリカ以外のことを言ってるんだろうね。ヨーロッパやイギリスではめっちゃ使われてるし(それは君の主張と矛盾しないよね)。

Metaが国家安全保障の秘密の手紙を受け取ったのか、それとも外国の同様のものを受け取ったのか、気になるよね。それに、GoogleのAndroidセキュリティパッチに関する変更も気になる。「OEMのために簡単にする」って名目で四半期ごとに移行してるけど、実際はParagonや他の国家のスパイウェアがパッチが当たるまでの4ヶ月間、脆弱性にアクセスできるようにするためなんじゃないかな。

じゃあ、代わりに何を提案するの?

Metaの人たちは、Metaを辞めた後に良心が芽生えるんだよね。

オプションが権利確定するまで、良心をエスクローに入れておかないといけないんだよね。

まだ試してないなら、Signalは最強の独立系のエンドツーエンド暗号化された消費者向けアプリだよ。非営利団体がゼロ知識アプローチで運営してるからね。

訴訟の全文はこちら: https://www.bloomberglaw.com/public/desktop/document/BaigvMe...

10年くらい前に、Hacker Newsのホームページに、Facebookが何かを誤設定して、ユーザーのデータがイスラエルの情報会社に直接渡されているのを観察できたっていう記事が載ってたよね?その日、私はFBアカウントを削除して、それ以降は彼らの提供するものを一切見てない。

今の時点では、あなたがやり取りするすべての情報が何らかの形で収集されていると考えた方がいいよ。信頼できるアプリは本当に少ない。例えば、パスワードを安全にやり取りするために信頼できるのはGPGだけで、Signalすら使わないかな。

「彼はまた、会社が毎日10万以上のアカウントのハッキングや乗っ取りを修正しようとせず、彼の訴えや提案を無視して、ユーザーの成長を優先したと主張した。」こんなモンスターたちに対する監視は全くないよね。Metaがユーザー数を抑えるようなことを実施するとは思えない。義務付けられない限り、なんでそんなことするの?彼らはまず株主に従ってるから。違法じゃなければ、違法じゃないし、道徳的にはともかく、それは違法じゃないよ。私の賢い友人たちは、この手のスキットのために本気でボウリングの腕を温めないといけないね。まずは、被害者…あ、ごめん、訴え人が必要だね。

ザッカーバーグは別の種類の株を持ってるし、CEOが「何か情報が必要なら聞いてね、みんな俺を信じてる、バカども」って言いながら会社に入るわけじゃないからね。

10年以上もオープンな秘密になってるから驚きじゃないけど、Metaの社員は(もし正しいコネやお金があれば)、長年使われているアクティブなアカウントを禁止したり押収したりして、友達や最高入札者に渡すことを仕組んでるんだよね。

ソースは?

ユーザーデータにアクセスすることについては、かなり驚きだね。私がMetaにいたとき、エンジニアとして解雇される最も早い方法は、許可やビジネス上の理由なしにユーザーデータやアカウントにアクセスすることだった。すべてはデータベースレベルまでログが取られていて、監査されてたよ。そんなことが変わるとは思えないし、そのルールはオンボーディングやブートキャンプの過程で早い段階から教えられるんだ。

証拠はあるの?

この苦情の部分は、特に1500人の「WhatsAppエンジニア」に関するものだね。青いアプリとは文化が違うのかな、なんて呼ばれてるかは知らないけど。

エンドツーエンドの暗号化に関しては、エンドが静的(ウェブアプリじゃない)で、監査可能(オープンソース、再現可能なビルド)であることが重要だよ。エンドで動いてるソフトウェアが、通過するものを簡単に妨害できちゃうからね。サーバーからLua(クローズドソースアプリ)みたいなランタイムにスクリプトを読み込むだけの簡単なこともあるし、カスタムJavaScriptを配信する(ウェブアプリ)こともある。これらの条件が満たされないと、どんなエンドツーエンドの暗号化の主張も一蹴されちゃう。だからといって、そのサービスが全く価値がないわけじゃないけど、機密を守ることは信頼できないってことだね。

WhatsAppのセキュリティ責任者を2021年から2025年まで務めたアッタウラ・ベイグは、約1500人のエンジニアが適切な監視なしにユーザーデータに無制限にアクセスできていたと主張している。これは2020年に会社に50億ドルの罰金を科したアメリカ政府の命令に違反する可能性がある。もし新たに数十億ドルの罰金が科されることになったら、彼を静かに楽なアドバイザーポジションに移す方が、むしろお金の節約になったかもしれないね。そこで彼は何も見たり、したり、言ったりできないようにするっていう。 > 彼の内部告発者としての苦情では、ベイグは復職を求めているが、[...] 「復職」の部分が理解できない。彼は本当に戻りたいと思ってるの?それが有毒なダイナミクスにならないと思ってるのかな?(彼はすでに報復について話してるし、あんな風に公にしたら、橋を燃やしちゃったと思うし、その周りの土地も塩を撒いて、さらにその地域全体を軌道から核攻撃したようなもんだよ。)それとも「復職」っていうのは、弁護士が単に要求しなきゃいけないもので、彼を元に戻すための名目上のもので、実際には誰も望んでないし期待もしてないのかな?