「Uber」からベンチャー企業のセキュリティを考える (3) 爆発的な拡大の歪み

江添 佳代子

March 25, 2015 18:00
by 江添 佳代子

前回までは、Uberのデータベース侵害事件や、同社が廃止した「God View」のデータを巡って繰り広げられたニュースを取り上げてきた。ここでいったん、サイバーセキュリティの話から少し離れて、現在のUberそのものが置かれている状況について確認してみたい。

インドのニューデリーで2014年12月8日、1人のUberのドライバーが、25歳の女性客を強姦した容疑で逮捕された。その翌日には米国シカゴで、やはり女性客に性的暴行を働いた容疑によりUberのドライバーの捜査が開始された。この2つの事件がほぼ同時に報じられたことで、同社のサービスの安全性を問う声が世界各国から上がった。

なお、この事件については1点だけ補足しておきたい。非常にレベルの高いサービスを提供している日本のタクシー業界で、このような犯罪は滅多に起こるものではない。だが一部の諸外国においては、タクシー運転手による強姦事件は必ずしも珍しくない。一般的なタクシーと比較して、Uberが危険だと示す統計的な資料を、少なくとも筆者は見つけることができなかった。それでもUberの安全性が問われたのには、それなりの理由がある。ここではニューデリーの事件について説明しよう。

ニューデリー警察が『The Huffington Post India』に語ったところによると、逮捕されたShiv Kumar Yadav容疑者は、商用免許を持たないまま6ヵ月間に渡って営業をしていた(ちなみにUberがドライバーに要求する免許は各都市によって異なるが、ニューデリーでは商用免許が必須とされていたはずだった)。さらに、同容疑者には強姦罪で投獄されていた過去もあったことが判明した。『The Times of India』の報道によれば、Yadavの余罪はどんどん増えており、12月12日時点で「これまで6人の女性を強姦した」と考えられている。

また、インドの法執行機関DCPは、Uberが容疑者に関する情報を何も持っていなかったために捜査が難航したことを明かした。容疑者の逮捕に繋がった証拠は、被害者が「報告したら殺す」と脅されながらも撮影していた車両の写真だった。この逮捕劇が報じられた翌週、ニューデリーではUberの営業停止が決定した。これらの事実が、「Uberはドライバーの審査を適切に行っているのか」「雇用したドライバーの身元を把握しているのか」という批判に繋がったのだ。

Uberを巡っては、このような形で営業が問われる前から、そもそものサービスが合法なのかという議論が世界中で取り沙汰されてきた。そして実際に「違法」として同社が訴えられたケースも少なくない。特に2014年12月の前半は、それらの告訴に関するニュースが雪崩のように続いた。

例えば、米国のポートランドは2014年12月9日、タクシー法違反でUberを告訴した(後にUberは一時的なサービスの停止に合意した)。同日9日には、サンフランシスコとロサンゼルスでも、Uberは「運転手の審査を適切に行っていない」として相次いで告訴されている。欧州では、これまでもベルギーのブリュッセルがUberの営業を禁じてきたが、オランダ(12月8日)やフランス(12月15日)でもUberアプリのサービス運用禁止が決定した(ただし現時点で、オランダ、フランスの2ヵ国は期間限定の停止命令に留まっている)。

ブリュッセル、フランス、オランダでの告訴

アジア各国でも、Uberの合法性は問われている。韓国では昨年12月24日、輸送法違反の営業活動を行ったとして、同社CEOのトラヴィスと同社職員30人が告訴された。最近のニュースによると、韓国当局は3月18日、「Uberが現状の営業を続けた場合には逮捕状を発行する」と発表したようだ。

Uberのありかたが問われている理由は、安全性や合法性だけに留まらない。「天災が起きた地域や事件が発生した地域などで、乗車料金が大暴騰するシステムへの批判」「競合各社に対して繰り返された嫌がらせ行為」「過去に重罪を犯したドライバーがゲイの乗客に対して起こしたヘイトクライム」「幹部たちによるミソジニスト的な発言」などなど、とにかくUberを巡る騒動は枚挙に暇がない。PayPalの共同創業者ピーター・ティール氏がCNNのインタビューに対し、「Uberはシリコンバレーで最も倫理的な改善を求められる企業」とコメントしたことも、決して大袈裟な話ではなさそうだ。

では、ここで話を振り出しに戻そう。最初に取り上げた通り、Uberはデータベースに不正アクセスを受けたことで、その対応とデータ管理を批判された。その事件は同社が現在直面している問題の、ほんの軽微な一辺に過ぎないことも、ここまで記してきた通りだ。欧米圏では「いまさらUberがドライバーの個人情報を軽んじたとして、誰が驚くのか」といった冷めた反応もみられるほどである。
しかし、それでもUberのビジネスモデルが、世界中の「手軽に乗車したい客」と「手軽に乗客を得たいドライバー」にとって非常に魅力的であることは疑いようがない。おかげでUberは世界中のタクシー業界を脅かす存在となっており、とりわけ昨年には爆発的な成長を遂げた。2014年4月後半から2015年3月前半までの一年弱で、Uberが営業する都市の数は100都市から約250都市まで増加している。そして同社の企業価値は、2014年12月時点で410億ドル(5兆円弱)にまで膨れあがっている。

この急成長と共に噴出しはじめた無数の問題について、各国政府やメディア、顧客(特に女性客)は、今後どのような反応を示すだろうか。そしてUberは、どのようにして彼らの信頼回復に励むのか。しばらくの間、Uberは法的な課題の解決に翻弄されるだろう。しかし、「顧客のプライバシーをしっかりと守りながら、素早く配車を行うためのシステム」や、「どのようなドライバーが働いているのかを社内で把握したうえで、その情報を適切に保護するための土台」を作ることも、現在のUberには求められているはずだ。こういったセキュリティの要素が、これからUberにどう盛り込まれていくのか。その点も非常に気になるところだ。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…