SOPA Images via Getty Images

2021年半ばに、アップルとMeta(当時はFacebook)が法執行機関を装ったハッカーに顧客データを提供してしまったことが明らかとなりました。事情に詳しい人物によると、両社は偽造された「緊急データ要求 」によりユーザーの個人データを渡したとのことです。

米Bloombergによれば、この緊急データ要求とは、通常であれば裁判官の署名が入った捜査令状か召喚状が必要なところを、その手続きを飛ばせるというものです。誰かの命が危険に晒されているときなど、裁判所を通す時間が惜しまれる緊急時に使われる手段というわけです。

またアップルとGoogleのほかSnapchatも、同じハッカーから偽造の緊急データ要求を受けたとのこと。ただし、情報を提供したかどうかは不明とされています。

Bloombergの問い合わせに対して、アップルの広報担当者は法執行ガイドラインの一節に言及するに留めています。それは要求を提出した政府または法執行機関の監督機関が「連絡を受け、緊急データ要求が正当なものであることをアップルに確認するよう求められる場合がある」と記されているもの。つまり要求の正当性を検証する仕組みは用意していると示唆しているようです。

この偽造された緊急データ要求の一部には「Recursion Team」と呼ばれるサイバー犯罪集団に属するハッカーらがいると考えられるとのこと。

またサイバーセキュリティ研究者からは、彼らの中には英米に住む未成年もいる可能性があり、そのうち1人はマイクロソフトやサムスン、Nvidiaをハッキングした「Lapsus$」の首謀者である可能性もあると指摘されています。

もっともサイバー企業Unit 221Bの担当者は、法執行を担当するアップルとMetaのチームを擁護しています。つまり「その中核には、正しいことをしようとしている人がいました。ユーザーの悲劇的な状況に迅速に対応するための法的柔軟性が社員にあったおかげで、Trust & Safetyチーム(悪質な行為に対応するチーム)が何度ひそかに命を救ったかわかりません」というわけです。

人の安全や命が関わっている緊急事態には確認や手続きもゆるやかにせざるを得ず、そこにつけ込むサイバー犯罪集団こそ卑怯きわまりないと言うべきでしょう。しかし全世界を騒がせている「Lapsus$」と今回の件が深く関わっているのであれば、首謀者さえ捕まえられれば一網打尽にできるのかもしれません。

Source:Bloomberg

via:9to5Mac