最近の「Uber（ウーバー）」は、「スキャンダル」とほぼ同義語になっている。ところが今回はそのさらに上を行き、スキャンダルの上にさらにジェンガのようなスキャンダルの塔をつくり上げ、崩れ落ちる寸前になっている。

ライドシェアサーヴィスを提供するUberは、5,700万人分の個人情報を流出させただけでなく、それを1年以上も隠蔽していた。Uberは、別のプライヴァシー侵害案件を調査していた連邦取引委員会（FTC）の職員を意図的に欺いた可能性があるのだ。

新たに就任したダラ・コスロシャヒCEO［日本語版記事］が2017年11月21日に出した声明によると、16年10月にハッカーが大量の個人情報をUberのネットワークから盗み出していたことが明らかとなった。そのなかには、60万人のドライヴァーの氏名や免許証の情報、さらには5,700万人ものサーヴィス利用者の氏名とメールアドレス、電話番号まで含まれていた。

大規模なデータ流出もひどい話だが、FTCの調査に詳しい情報筋は、利用者との関係に最大のひびを生じさせた原因はUber自身の対応にあるとみている。さらに、役員の刑事責任が問われる可能性も浮上しているという。

データ流出のニュースを最初に報じたブルームバーグによれば、Uberはハッキングされた事実の隠蔽やデータの削除と引き替えに、ハッカーに10万ドルを支払っていた。これは利用者が居住する多数の州において、情報流出の事実を報告するよう求めた法律に違反する可能性がある。

「Uberが事態を把握しながら隠蔽してFTCに知らせなかったとすると、あらゆる問題が生じます。刑事責任が問われる可能性もあるでしょう」と話すのは、ミネソタ大学ロースクールでデータ機密を専門とするウィリアム・マクゲヴァラン教授である。「報道がすべて事実だと仮定すれば、調査官に虚偽の申し立てを行っていたことになります。調査の過程で調査官に嘘をつくことは許されません」

認証情報つきのコードが共有サイトから流出

ブルームバーグの報道によると、Uberのユーザー名やパスワードを含むコードを、同社のエンジニアがコード共有サイト「Github」の個人アカウントで公開しているのをハッカーが発見し、16年のデータ侵害につながった。これらの情報を得たハッカーは、Uberのネットワーク上で特別な権限を要する開発者アカウントに直接アクセスすることが可能となった。さらにそこから、アマゾンにホスティングされたUberのサーヴァーにアクセスし、利用者やドライヴァーなどの機密データにアクセスしたという。

ハッカーがどのようにGithubの個人アカウントにアクセスしたかは不明である。だが、「Github上のコードで認証情報を共有するという最初のミスは、決して珍しいことではありません」と、セキュリティ会社SentinelOneのチーフセキュリティストラテジストであるジェレマイア・グロスマンは指摘する。

というのも、アクセスに権限が求められるデータやサーヴィスの利用を自動化するために、プログラマーはコードに認証情報を書き込んでおくことが多い。そして機密情報が満載のソフトウェアを共有する方法や場所に、制限をかけておくのを忘れてしまうというわけだ。

こうしたことはよく起きるのだというが、グロスマンはUberによる隠蔽のほうに大きなショックを受けたという。「誰にだってミスはありますが、ミスへの対処法を誤るとトラブルが生まれるのです」

いったいどこまで問題なのか？

Uberが発表した5,700万人という利用者の数は、全体の大きな部分を占める。昨年の月別利用数は4,000万件に達した。影響を受ける利用者への通知はまだ行われていないが、声明では「今回の流出による詐欺行為や悪用の証拠は見つかっていません」としたうえで、影響のあるアカウントには追加の防護措置をとるよう通知したと説明している。

また、Uberは漏洩データに含まれる60万人のドライヴァーは連絡をとっている。クレジットカードの利用状況レポートとID詐欺に関する保険サーヴィスを、無償で提供するという。

氏名や電話番号、メールアドレスの大量流出は、詐欺を働こうとする人間やスパムメールの送信者にしてみれば、価値あるデータとなる。ほかの漏洩データと組み合わせて個人情報を盗んだり、フィッシング詐欺に利用したりもできるだろう。

さらに機密性の高いドライヴァーの流出データからは、詐欺師にとってさらに有用な個人情報を引き出せる可能性もある。これらすべてが、消費者の支配下にある個人情報にじわじわと迫っていくのだ。

だが、最も深刻で直接的な影響を受けるのは、データが漏洩した一般ユーザーではなく、Uber自身かもしれない。Uberはすでに、最高セキュリティ責任者（CSO）だったジョー・サリヴァンを解任した。以前はフェイスブックのセキュリティ責任者で、その前は連邦検事だった人物だ。

ミネソタ大学のマクゲヴァランによれば、情報流出の公表を1年も怠ったことで、Uberはセキュリティ侵害の通知義務を定めた法律に違反する可能性がある。利用者がいる多くの州では、巨額の罰金に備えるべきだという。本拠地のカリフォルニアでも同様だ。「こうした理由で州政府がUberを追及したとしても驚きません」と教授は言う。

かつてFTCの代理人だった弁護士のホイットニー・メリルも、同じような見解をツイートしている。

「これは恐らく、かなりの州で通知義務違反になるでしょうね。うわあ」

「セキュリティ問題に関してFTCが調査しているさなかに情報流出の事実を隠蔽するなんて、ほんとぞっとする」

もし、14年にも起きた別のデータ漏洩における調査でFTCに虚偽報告していた件が隠蔽行為に含まれるなら、事態がさらに悪化する可能性もある。FTCの調査官に虚偽の報告をしたとすれば、連邦法で刑事責任が問われるのだとマクゲヴァランは指摘する。「お茶を飲みながらの気軽な会話ではなく、正式な手続きに沿った調査ですから」

「すでに政府職員が聞き取り調査に乗り出しています。Uberはデータ漏洩の事実を把握していたうえ、ハッカーに口止め料を支払っていました。しかもFTCへの報告から意図的に5,700万人分もの漏洩を隠していたとみられています」と、マクゲヴァランは言う。「もしすべて事実なら、大変な事態に発展しますよ」