Google Appsではなく人間の問題：Twitterの情報流出で問われるクラウドの安全性 (1/2)

　米Twitterで個人メールアカウントがハッキングされたことで、米Googleとクラウドコンピューティングモデルは、人気ブログTechCrunchのからかいの的になった。

　この攻撃はGoogle Appsのパスワードシステムのセキュリティの弱点を狙ったもの。その結果、企業が機密文書を保存するのにインターネットを利用するのは安全なのかという議論が再燃した。Googleは弁明に追われ、Twitterは7月15日にGoogleを擁護する姿勢を示した。

　今回の騒ぎは、「Hacker Croll」と名乗るハッカーが5月にTwitterから盗んだとされる約300の文書をTechCrunchが入手したのが発端だ。これらの文書の中には、重役会のメモや財務予測のほか、Twitterの従業員の予定表、電話記録、好きな食べ物のリストといったものまで含まれていた。

　Twitter共同創業者のビズ・ストーン氏は、TechCrunchが一部の文書のスクリーンショットを掲載した後でハッキングの事実を認め、ハッカーが従業員の個人メールアカウントから情報を盗んだことを明らかにした。このアカウントはYahoo! Mailアカウントとみられている。

　Twitterはこの情報をまだ確認していないが、ニュースWebサイトのCNETとNew York Timesでは、Yahoo!のパスワード回復システムの脆弱性のせいで、Hacker Crollが従業員のGoogle Appsアカウントにアクセスすることができたとしている。ストーン氏によると、このアカウントにはGoogle DocsやCalendarsなどのGoogle Appsが登録されており、Twitterはメモ、表計算データ、アイデア、会計データなどを社内で共有するのにこれらのGoogle Appsを利用しているという。

　TechCrunch創設者のマイケル・アーリントン氏は7月14日、Google Appsのパスワードセキュリティは不十分であると指摘し、自身のブログのコメント欄で「Googleのセキュリティホールがそもそもの原因であり、Google Apps for your Domainが狙われたようだ。一部のパスワードが推測され、そこからハッキングされたのだ。これらの文書の大半（あるいはすべて）がGoogleのサーバからダウンロードされた」と述べている。

　その翌日には、アーリントン氏はこれらの文書を公開する権利が自分にあるとして、次のように記している。

　Googleがパスワード回復用の質問という方法によって、信じられないほど簡単にユーザーのアカウントにアクセスできるようにしているのは、われわれの責任ではない。Twitterがこれらの文書や重要な情報をすべてクラウドに保存し、容易に推測できるパスワードと回復用の質問を設定していたというのも、われわれの責任ではない。今回の出来事を機に、GoogleおよびGoogleユーザーが今後、より強力なデータセキュリティポリシーについて考えるようになればいいのだが。

　SeekingAlphaのマイケル・アイゼンバーグ氏は、クラウドコンピューティングのセキュリティの弱さを指摘する――「問題は、多数の新興企業や大企業が重要な社内文書でGoogle Appsを利用していることだ。セキュリティは大丈夫だと彼らは思っているが、そうではない。これはGoogleが今後直面するリスクであり、クラウド専門のセキュリティ企業が必要であることを示すものだ」