Oligur

• ニュース

昨年半ば、AppleとFacebookの親会社であるMeta Platformsが顧客データをハッカーに提供した。事情に詳しい3人の関係者によると、ハッカーは法執行官を装って両社を誘惑したという。

AppleとMetaが警官を装ったハッカーにユーザーデータを渡した

ブルームバーグは水曜日、事情に詳しい３人の人物の話として、偽造された「緊急データ要求」を受け取った後、アップルとメタが顧客の住所、電話番号、IPアドレスなど基本的な加入者情報を提供したと報じた。

同誌は、「関係者によると、通常、このような要請は裁判官が署名した捜索令状または召喚状によってのみ可能となる。しかし、このような緊急の要請には裁判所の命令は必要ない」と指摘した。

Snapchatの運営会社Snapも、同じハッカーから偽造された法的要請を受けたと報じられている。しかし、同社が情報を提供したかどうかは不明だ。

ブルームバーグの情報筋によると、ハッカーが偽造リクエストを通じて入手した情報は、嫌がらせ活動に利用されたという。3人の関係者は、こうした情報は主に金融詐欺に利用される可能性があると指摘した。被害者の情報を入手すれば、ハッカーはアカウントのセキュリティを回避しようとする可能性がある。

企業の対応

ブルームバーグの取材に対し、アップルの担当者は正式なコメントではなく、法執行ガイドラインの一部に言及した。ブルームバーグは以下のように指摘している。

Appleが参照しているガイドラインでは、要請を提出した政府機関や法執行機関の監督者に「連絡を取り、緊急要請が正当であったことをAppleに確認するよう求められる場合がある」としている。

そしてMetaは、広報担当のアンディ・ストーン氏の声明により、次のような回答を出している。

当社は、すべてのデータリクエストを法的妥当性の観点から審査し、高度なシステムとプロセスを用いて法執行機関からのリクエストを検証し、不正使用を検知します。また、侵害を受けたことが確認されているアカウントからのリクエストをブロックし、今回のケースのように、不正なリクエストが疑われるインシデントには法執行機関と連携して対応します。

スナップ社は、不正な法執行要請に対処するための安全策を講じていると述べる以外、コメントしなかった。

ハッカーとは誰ですか?

ブルームバーグによれば、「『リカージョン・チーム』として知られるサイバー犯罪グループに所属するハッカーが、偽造された法的要請の一部に関与していると考えられている」とのこと。

サイバーセキュリティ研究者は、ハッカーの一部は英国と米国に居住する未成年者である可能性があると指摘しています。そして、そのうちの1人は、マイクロソフト、サムスン、NVIDIAをハッキングしたサイバー犯罪グループ「Lapsus$」の首謀者である可能性があります。

ユニット221Bの主任研究官アリソン・ニクソン氏は、法執行機関との接触を担当するアップルとフェイスブックのチームを擁護した。

「これらの企業が失敗したすべての事例において、その根底には正しいことをしようとした人がいたのです」と彼女は述べた。「トラスト＆セーフティチームが、ユーザーに降りかかった悲劇的な状況に迅速に対応できる法的柔軟性を従業員に与えたおかげで、静かに命を救ったことが何度あったか、数え切れません。」

ブルームバーグは、AppleとMetaの両社が緊急データ要請への対応状況に関するデータを公開していると報じた。Appleは2020年7月から12月にかけて1,162件の緊急要請を受け、そのうち93%にデータを提供した。Facebookは2021年1月から6月にかけて21,700件の緊急要請を受け、そのうち77%に回答した。