「Uber」からベンチャー企業のセキュリティを考える (1) 事件後の対応と杜撰なデータ管理の実態

江添 佳代子

March 20, 2015 19:00
by 江添 佳代子

米国サンフランシスコ発の配車サービス「Uber(ウーバー)」は、乗客がスマートフォンの専用アプリを利用して、近くにいる車を気軽に呼び、タクシーのように利用できることで爆発的な人気を得たサービスだ。海外には流しのタクシーの数が充分ではない地域が多いこともあって、国際的な人気を集めたUberは、創業5年にして55ヵ国まで営業の手を広げている。

日本でも東京と福岡でサービスが段階的に始まっているが、人気の一方でトラブルも少なくない。2月には、Uberが福岡市で行ったライドシェア(相乗り)の実験に対し、国土交通省が「道路運送法に抵触する可能性がある」として中止命令を出したばかりだ。今後の日本での展開について考えるためにも、まずは現在のUberをめぐる世界的な状況に関し、数回に渡ってお伝えしようと思う。

2月27日、Uberは自社のデータベースに対する不正アクセスがあったことを公式ブログで発表した。この侵入の影響を受けたのは、およそ5万人のドライバーで、彼らの名前とナンバープレートの情報が漏洩した可能性があるという。その被害者数に関して、同社は「現在および過去に登録した同社のドライバーのうち、わずかな割合にしかすぎない」と主張したが、このニュースは世界各国で批判的に取り上げられることとなった。

Uberが批判された要因は2つある。1つは事件発覚後の対応のまずさだ。同社はブログの中で、データベースが侵入された可能性に気付いたのは「2014年9月だった」と述べている。その後、同社は直ちにデータベースのアクセスプロトコルを変更すると共に、さらなる調査を行い、不正アクセスが最初に発生したのは2014年5月13日であることも突き止めたという。

つまりUberは、2014年9月に侵入が発覚してから、それを2015年2月に発表するまでの5ヵ月以上の間、事件の調査や内部でのセキュリティ対応を行っていながらも、肝心の被害者であるドライバーたちには何も報告してこなかったということになる。その後も同社は、5ヵ月間の沈黙の理由についてコメントを拒否したまま、犯人捜しのための訴訟準備を進めているため、「Uberが可愛いのは自分だけだ」との批難の声も上がっている。

2つめは、データ管理の杜撰さだ。Uberは、自社のデータベースの鍵にあたる情報を「GitHub」に格納していたと指摘されている。大雑把に喩えるなら、これはSNSの「非公開コミュニティ」に、企業機密のつまったデータベースのパスワードを書き込む行為に近いと言える。世界の55ヵ国でサービスを展開している企業の行動としては、にわかに信じがたい。

ちなみにGitHubとは、ソースファイルのバージョン管理を行う「git」のプロジェクトのホスティングサービスだ。つまり複数の開発者がプロジェクトのソースコードを管理するクラウドとしても利用できる。利用者はプロジェクトの公開・非公開を選択できるが、そもそもGitHubは「gist」と呼ばれる共有サービスでプロジェクトを広く公開し、誰とでも気軽に情報交換できる点が魅力であり、開発者にとっての社交場的な意味合いが強いサービスだと言える。

Uberは、そのGitHubのgistに、侵入されたデータベースと関連する極秘情報(データベースへのログインキー、あるいは非公開のキーを含んだソースコードなど)を格納していた可能性が高い。2月28日の『The Register』の報道によると、同社はGitHubに対し、そのgist(ID:9556255 現在は削除済み)に関するアクセス情報の提供を要請するための召喚令状を提出したという。

この召還令状は、2014年3月14日から9月17日にかけて、問題のgistにアクセスした全てのIPアドレス、タイムスタンプなど、閲覧に関するあらゆるメタデータの提供を求めている。GitHub界隈の一部からは、この行動に対し、「そんなところへ重要なデータを勝手に置いた企業が、それを盗まれて召還令状を出すとは何事だ」という批判も出ている。このニュースを報じるサイトには、「問題のgistが非公開だったかどうかも疑わしい」「(この様子では)パスワードも『pAssWord123』あたりだろう」「この話が馬鹿馬鹿しいおかげで、『5万人分の情報漏えい』という事故のインパクトが薄れた」などといった皮肉めいたコメントも書き込まれている。

さて、このニュースを取り上げた日本の記事、およびその読者の反応には、「このような大失態で信頼を失ったUberは、大きなダメージを受けるに違いない」と結んだ内容のものが少なくなかった。しかし筆者の見立ては少し異なっている。確かに今回の事件で同社が大きな批判を招いたことは間違いない。だが、同社が「データ管理のありかた」や「企業としての倫理」を問われたのは今回が初めてのことではなく、それだけに同社は打たれ強くなっているとも言えるからだ。同社のこれまでのストーリーは、良くも悪くも急成長するベンチャー企業のセキュリティと倫理を考える上での興味深いケーススタディと言えるので、次号では昨年末に起こった顧客の位置データ不正利用問題と、そこから派生した事件を振り返ってみたい。
※その2に続く

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…