「Uber」からベンチャー企業のセキュリティを考える (2) 「神の視点」と乗客の個人情報

江添 佳代子

March 24, 2015 13:20
by 江添 佳代子

前回の記事では、Uberのデータベースが侵入を受け、ドライバー5万人分の情報が漏洩した話題を取り上げた。今回は、その漏洩事件の3ヵ月前までUberが取得していた乗客の位置データを巡る、一連の騒動についてお伝えしたい。

Uberは2014年11月20日、同社のソフトウェアで利用していた「God Viewモード」を廃止することを発表した。このGod Viewモードとは、Uberのドライバーが乗客の位置情報を参照する際に利用されるシステムだった。それは乗客がドライバーを呼ぶ際に利用するUberアプリと連動していたこともあり、過去にも度々「本来の目的以外の用途で利用されているのではないか」「それはプライバシーの侵害ではないか」という懸念が指摘されてきた。なお、God Viewが動作していた当時の様子はこちらから確認できる

古い指摘の例としては2011年9月、ベンチャーキャピタリストのピーター・シムズ(Peter Sims)氏による記事がある。Uberのヘビーユーザーだった彼は、同社が彼の日常の位置データを追跡する様子が、「よく知られた乗客のデータ」として無断でUberのプロモーションに利用されていたことを受け、強い論調で同社を批難した。

しかし、God Viewのデータの利用に関する問題が大きく取り上げられるようになったのは、昨年11月からだ。まずはUberのニューヨーク担当ゼネラルマネージャだったジョシュ・モア(Josh Mohrer)氏が、God Viewを利用して、『Buzzfeed News』の女性記者ジョアンナ・ブイヤン(Johana Bhuiyan)氏を追跡していたという話題から紹介しよう。

ジョアンナ氏は当時、Uberの顧客データの扱いを追っていた記者の一人だった。彼女自身が2014年11月19日に公開した記事によると、ジョシュ氏とのインタビューを取りつけたジョアンナ氏がUberを利用した際、彼女が車から降りるやいなや、「おや、ここにいた」と言いながらジョシュ氏が目の前に現れた。彼はジョアンナ氏にiPhoneを見せながら、わざわざ「君を追跡していたよ」と告げたという。彼女にプレッシャーを感じさせようとした彼の脅しは、まったくの逆効果だった。その顛末、および、以前にも行われていたハラスメント行為(同年9月、ジョシュ氏はジョアンナ氏が過去に利用したUberの乗車記録をメールで送りつけている)を綴った彼女の記事は、独占スクープとして注目を浴びた。

この事件の話題性と信憑性を深めた、もう一つのエピソードがある。ジョアンナ氏の記事が公開される前日、Uber幹部のエミル・マイケル(Emil Michael)氏が、「Uberに不都合な記事を書くジャーナリストたちの弱みを握り、本人や家族に関するプライベートな詳細情報をばらまくためのチームを100万ドルで結成できる」と放言したのだ。この時、彼はテクニカルニュースサイト『PandoDaily』の女性チーフエディター、サラ・レイシー(Sarah Lacy)氏の名前を具体的な攻撃対象として挙げた。このエピソードはアル・フランケン(後述)に素早く取り上げられたこともあり、瞬く間に全米で広まった。

欧米において、働く女性を狙った、家族への危害をほのめかす脅しが、どれほど批難の対象となるのかは説明するまでもないだろう。そしてエミル氏の失言の舞台となったのは、先述のBuzzfeed Newsのチーフエディター、ベン・スミス(Ben Smith)氏も同席する夕食会だった。なぜジョシュ氏やエミル氏は、自身の言動が報道されることを恐れなかったのか。もしかすると、自らの追跡システムを「神の視点」と名付けた彼らは、ある種の全能感に取り憑かれていたのかもしれない。

  • Uber exec suggests digging up dirt on journalists(CNN)
    エミル氏の発言。CNNでも大きく取り上げられた

  • Uber Executive Suggests Digging Up Dirt On Journalists(BuzzFeedNews)
    さっそくベン・スミス氏がネタにした記事

  • Uber exec wanted to sic private dicks on critics … Hey, Emil Michael, COME AT US, bro(The Register)
    「我々はサラ・レイシーよりも遥かに失礼な記事を書いてきた、さあ脅しに来い」とUberを挑発するニュースサイト『The Register』の記事

  • 翌11月20日には、同社のCEOトラヴィス・カラニック(Travis Kalanik)氏に対し、米国上院議員のアル・フランケン氏が、「Uberのユーザートラッキングに関するポリシーの詳細」「問題を起こした人物にペナルティを与えるか否かの回答」などを求める内容の質問状を提出した。アル氏は、長寿番組「サタデー・ナイト・ライブ」や数々の映画でも活躍した放送作家、兼コメディアンとしても著名な人物だ。その話題性もあってか、激しい非難に晒されたUberは、冒頭でお伝えした通りGod Viewシステムの廃止を同日に発表。さらに同社の社内調査を受けたジョシュ氏は11月28日に懲戒処分となった。

    ※その3に続く

    江添 佳代子

    江添 佳代子

    ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
    THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

    BugBounty.jp

    システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

    提供会社:スプラウト

    企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

    BugBounty.jp

    サイバー空間の最新動向を分析脅威リサーチ

    提供会社:スプラウト

    サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

    中国でライドシェア殺人事件が発生

    May 22, 2018 08:00

    by 牧野武文

    5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

    アリペイの盲点を突いた男に懲役5年

    May 15, 2018 08:00

    by 牧野武文

    アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…