検索
ニュース

なぜUberは「5700万件情報漏えい」を6年間も隠したのか?

ライドシェア企業のUberにおいて、2016年に大規模なデータ漏えい事件が発生していたことが分かった。その実態と、事件が長年明るみに出なかった理由は。

PC用表示
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 カリフォルニア州北部地区連邦検事局は2022年7月22日、ライドシェア大手のUber Technologies(以下、Uber)が連邦当局と不起訴合意に達したと発表した(注1)。Uberはデータ実務に関して連邦取引委員会の調査を受けていたが、2016年のデータ侵害を開示していなかった。

 連邦検察官によると、連邦取引委員会(FTC)は2015年から2017年にかけてUberのデータ実務を調査し、個人情報への不正アクセスの開示を求める質問書を同社に送付していた。2016年11月、不正なハッカーが盗んだ認証情報を使ってプライベートなソースコードリポジトリにアクセスし、60万件の運転免許証番号とともに5700万件のユーザー記録を盗み出すという事件が発生していた。

 不起訴合意により、UberはFTCの調査が進行中であるにもかかわらず、同社の担当者が2016年11月の侵害を公表しなかったことを認めた。同社は役員、取締役、従業員および代理人の行動に対する責任を受け入れるとしている。

Uberの事件が長年明るみに出なかったワケ

 Uberの合意は、顧客と連邦規制当局との信頼関係の欠如を浮き彫りにしている。しかし、この事件が発生した時期は、サイバーセキュリティとデータガバナンスが今とは異なり、2020年のSolarWindsの攻撃や2021年のColonial Pipelineの事件が歴史的な政策変更の先駆けとなるずっと前の出来事だと考える必要がある。

 Forresterのシニアアナリストであるアラ・ヴァレンテ氏は、「Uberの事件は、企業がデータ漏えいや他のサイバーセキュリティ事件を一般的に公表しなかった時代に起きたもので、その理由の一つは、顧客情報に対して甘いと思われるというスティグマがあったからだ」と述べている。同氏は、2016年のUberの行動と新しいコーポレートガバナンスの基準は、今の大手企業には許されないと警告している。

 「率直に言って、今日あのようなことが起こったとしても、ここまでには至らなかったと思う」とヴァレンテ氏は言う。

 連邦大陪審は2021年12月、Uberの元最高セキュリティ責任者ジョセフ・サリバン氏を、2人のハッカーに6桁の支払いを手配することで攻撃について沈黙させて2016年のハッキングを隠蔽しようとした罪で起訴した。同氏はまた、個人情報が漏えいした顧客や運転手から事件を隠蔽しようとした罪でも起訴された(注2)。

 サリバン氏は同事件をめぐり、2020年に司法妨害で起訴されている。

 FTCは、2014年に表面化した報告に基づき、Uberが顧客データに不適切にアクセスしたことを調査していた。同委員会は2017年にUberと和解したが(注3)、その後ライドシェア企業の新経営陣から、2016年のデータ侵害が隠蔽されてFTCに開示されていなかったことが、書面による質問に対して明らかになった(注4)。

 Uberは2018年にFTCと20年間のコンプライアンスプログラムを締結し(注5)、先週発表された合意の一環として、連邦当局は同社におけるデータコンプライアンス、法務、セキュリティ機能に関する大幅な改善を要求した。

 また、連邦当局は、本件に関するUberと連邦当局の広範な協力関係を挙げている。Uberは州検察官との民事訴訟を1億4800万ドルで和解し、データの大幅な改革に合意している。

 Gartnerのアナリストは、Uberは極端な例だが、コンプライアンスの要求にどう対応するかについては、企業のセキュリティ担当者に不安を与えたと述べている。

 Gartnerのアナリストであるネーダー・ヘネイン氏は、「ランサムウェア攻撃の増加傾向や、身代金支払いの有無に関する絶え間ない議論と相まって、CISO(最高情報セキュリティ責任者)は非常に孤独で望ましくない立場に置かれ、サービスの復旧に多大なプレッシャーを感じている」と電子メールにつづった。

© Industry Dive. All rights reserved.

ページトップに戻る