<Forbes JAPAN定期購読会員の皆様へ> 決済システム変更にかかる決済情報再登録のお願い

Photo by Hollie Adams/Getty Images

ウーバーの元幹部が10月5日、2016年に発生したハッキング事件を連邦取引委員会(FTC)に報告しなかったとして、連邦司法妨害罪で有罪を宣告された。この事件は、ハッキングによって企業幹部が刑事訴追を受ける初めてのケースとされ、専門家のデータ漏洩への対処法を変える可能性があるとニューヨーク・タイムズ(NYT)は報じている。

2017年にウーバーから解雇された元セキュリティ主任のジョー・サリバンは5日、サンフランシスコの連邦裁判所で、司法妨害罪及び重罪隠匿の罪で有罪判決を受けた。

NYTによると、3週間にわたった裁判は30日に終了し、陪審員はおよそ19時間をかけて評決に達したという。司法省によると、サリバンには司法妨害罪で最高5年、犯罪を報告しなかった罪で最高3年の禁固刑が科されるという。

サリバンは以前、フェイスブックとCloudflareに勤務しており、彼を訴追したサンフランシスコ連邦検事局でサイバー犯罪の検察官を務めたこともあった。

サリバンの弁護士であるデビッド・アンジェリは、NYTの取材に、彼らが評決に「同意しない」と述べ、彼のクライアントであるサリバンが、これまでのキャリアを通じて、「インターネット上の個人データの安全を守ることに尽力してきた」と述べている。

「バグ・バウンティ」だと思っていた


検察によると2016年にFTCが別のハッキング事件をめぐってウーバーを調査していた際に、サリバンは匿名のハッカーからメールを受け取り、そこには、ウーバーの乗客5700万人とドライバー6万人に関わるセキュリティの脆弱性を発見したと書かれていたという。ハッカーは身代金として10万ドルを要求し、拒否した場合は、データを公開すると脅したため、ウーバーは、ハッカーに金を支払い、その後、彼らにNDA(秘密保持契約)にサインさせたという。

ワシントン・ポストによると、2人のハッカーは2019年にデータ侵害の罪を認め、そのうちの1人はサリヴァンの裁判で証言を行った。連邦検事補のベンジャミン・キングスレーは、サリバンが新たなハッキング事件をFTCに知られないように、「意図的な情報の隠蔽」を行ったと主張したとNYTは報じている。

このハッキング事件がFTCに報告されたのは、2017年に現CEOのダラ・コスロシャヒがウーバーに入社して以降のことだった。しかし、サリバンの弁護士のアンジェリは最終弁論で、サリバンはこの事件が「バグ・バウンティ」(脆弱性を発見したハッカーに報酬を支払う懸賞)だと信じており、事件性はないと判断したと主張した。

「サリバンは、顧客のデータが安全であり、これは報告する必要のある事件ではないと信じていた」と彼は主張した。サリバンは2020年に連邦検察に起訴されていた。

forbes.com 原文

編集=上田裕資

PICK UP

あなたにおすすめ