TwitterのソースコードがGitHubに流出

ニューヨーク・タイムズが金曜日に入手した法的な調査結果によると、ツイッター社はソーシャルメディアサイトのソースコードの大部分が漏洩したGitHubのリストを削除した。

ジャンプ先:

Twitterのコードを投稿した人物の身元は不明
漏洩したコードは人員削減の中でサイバーセキュリティリスクの増大につながる可能性がある
Twitterのメリットとサイバーセキュリティリスク
マスク氏は推奨アルゴリズムをオープンソース化する計画だ

Twitterのコードを投稿した人物の身元は不明

コードを投稿したGitHubアカウントの所有者は、「FreeSpeechEnthusiast」というハンドルネームを使っていた。Twitterは、Microsoft傘下のGitHubに対し、この人物とコードをダウンロードした他の人物の身元を明らかにするよう、北カリフォルニア連邦地方裁判所に要請した。

ニューヨーク・タイムズ紙の報道によると、この件に関与する幹部らは、コードを漏洩した人物は昨年解雇された、あるいは辞職した従業員の一人ではないかと推測している。2022年10月にテック界の大物イーロン・マスク氏がツイッターを買収した際、多くの従業員が解雇されたり、自ら退社を選んだりした。

漏洩したコードは人員削減の中でサイバーセキュリティリスクの増大につながる可能性がある

マスク氏による買収以来、Twitterの当月の売上高と調整後利益はともに前年比で約40%減少しました。Twitterの従業員の約80%が解雇されるか、自らの意思で他社へ異動しました。

Twitterの人員削減は、このソーシャルメディア大手をサイバーセキュリティの脅威にさらす可能性がある。流出したコードの内容によっては、Twitterの基盤内部を垣間見ることになる。主な懸念は、ハッカーがソースコードの脆弱性を発見し、Twitterユーザーの個人情報を入手したり、サイトを内部からダウンさせたりする可能性があることだ。

参照: 既存および退職した従業員によるデータ盗難を防ぐ方法 (Tech Republic)

「コードの重要な部分がサイバー攻撃者によって実際に公開され、不正に流用されない限り、今回のセキュリティインシデントはTwitterとそのユーザーに重大な影響を与える可能性は低いでしょう」と、ImmuniWebの創設者であり、ユーロポールのデータ保護専門家ネットワークのメンバーでもあるイリア・コロチェンコ氏は述べています。「例えば、審査済みの第三者がTwitterユーザーの機密データにリモートアクセスすることを可能にする、ビジネスクリティカルなAPIのソースコードは、外部からは検知できない重大なセキュリティ脆弱性を露呈させる可能性があります。」

Twitterのメリットとサイバーセキュリティリスク

Twitterは依然としてソーシャルメディアの選択肢として最適であり、特にLinkedInほどフォーマルではない空間で他の専門家とコミュニケーションをとる上で最適です。しかしながら、マスク氏の経営下でTwitterが人員削減を進めたことは、良い兆候とは言えません。解雇されたエンジニアたちが後になって潜在していた脆弱性を露呈する可能性があるからです。Twitterは、時が経つにつれ、下流で問題が発生するにつれて、人員削減の影響を強く感じるようになるでしょう。

サイバーセキュリティ企業Emsisoftの脅威アナリスト、ブレット・キャロウ氏はニューヨーク・タイムズ紙に対し、今回の漏洩は「憂慮すべき」と語った。

しかしコロチェンコ氏は、タイミングを考えると、今回のリークがツイッターの足元をすくわれるような事態にはならないだろうと述べた。

「Twitterが削除を要請したのが、ソースコードが公開されてから数ヶ月も経ってからだとすれば、ソースコードはそれほど機密性の高いものではなかった可能性が高い」とコロチェンコ氏は述べた。「Twitterのような企業は通常、GitHubやその他のコードリポジトリにおける機密データの偶発的または悪意のある漏洩を継続的に監視するための複数のソリューションを備えているため、コードが公開されたまさにその日に漏洩に気付いた可能性が高い」