2016年の米大統領選や英国のEU離脱「Vote Leave」キャンペーンで役割を果たしたカナダの政治広告会社アグリゲートIQが、自社のアプリケーションとデータベースの認証情報を一般公開していたと、セキュリティ会社アップガードが月曜日に発表した。
公開されたコードやデータが盗まれたという証拠はありません。盗まれなかったという証拠もありません。単に、不特定の期間、一般公開されていただけです。
アップガード社のサイバーリスク調査ディレクターのクリス・ヴィッカリー氏は、 The Registerとの電話インタビューで、AggregateIQがオープンソースのGitLabソフトウェアバージョン管理およびコラボレーションシステムのカスタムバージョンをインストールしたと語った。
「何らかの理由で、彼らは一般の人が新規アカウントを登録できるように設定した」と彼は語った。
約 1 週間前の 3 月 20 日、Vickery 氏は AggregateIQ.com の GitLab サブドメイン (gitlab.aggregateiq.com) でホストされているコード リポジトリを発見しました。
URLにアクセスすると、メールアドレスを入力するだけで登録が完了し、その後、会社のツールやデータを閲覧できるようになりました。
連邦政府を呼ぶ、彼らはすでに知っているかもしれないが
ヴィッカリー氏は、連邦当局に調査結果を報告したが、当局の要請により具体的な機関名は伏せたと述べた。また、AggregateIQにも報告したところ、同社は11分後にアクセスを遮断したという。
アップガードは、発見された資料は明らかに、2016年の大統領選で敗北したテッド・クルーズ上院議員の選挙活動を支援するために使われたもので、クルーズ陣営からサービス提供の対価として580万ドルを受け取っていたケンブリッジ・アナリティカとアップガードの疑惑の関係について疑問を投げかけているとしている。
英国を拠点とするデータ分析会社ケンブリッジ・アナリティカは、現在のフェイスブックのプライバシースキャンダルの中心に立っている。このスキャンダルは、フェイスブックが以前、アプリ開発者にアプリユーザーとその友達全員の情報収集を認めていたポリシーを悪用した研究者から同社がフェイスブックのプロフィール約5000万件を入手したことによるものだ。
AggregateIQ は報道で Cambridge Analytica と関連があるとされています。Cambridge Analytica の CEO である Alexander Nix 氏 (同社の戦略について議論している秘密裏に撮影されたビデオが公開されたため、現在は停職処分中) は、過去にソフトウェア アプリケーションの開発に AggregateIQ を使用していたことを認めています。
2017年5月のガーディアン/オブザーバーの報道によると、フェイスブックのデータスキャンダルを世に知らしめた内部告発者のワイリー氏が、アグリゲートIQとケンブリッジ・アナリティカを結びつけたという。
報告書は、ある時点で、AggregateIQ の住所と電話番号が、ケンブリッジ・アナリティカのウェブサイトに掲載されている SCL Canada の住所と電話番号と同じだったと主張している。
アグリゲートIQは土曜日、ケンブリッジ・アナリティカとその親会社SCLと距離を置き、違法行為に故意に関与したことは一度もないと主張する声明を発表した。
「AggregateIQは、ケンブリッジ・アナリティカやSCLとは一切関係がありませんし、現在も関係ありません」とカナダ企業は述べた。「AggregateIQはケンブリッジ・アナリティカと契約を結んだことはありません。クリス・ワイリー氏がAggregateIQに雇用されたこともありません。」
ヴィッカリー氏は、アグリゲートIQがケンブリッジ・アナリティカとの関係を否定したことに懐疑的な見解を示した。
「彼らが言うような無関係な関係が存在するとは信じ難い」と彼は言った。「私はそれと正反対の、説得力のある証拠を見てきました。」
手がかりはコードの中にある
アップガードは、「自動電話、電子メール、政治ウェブサイト、ボランティアの戸別訪問、フェイスブック広告など、さまざまな方法で個人をターゲットにして影響を与えるために総合的に使用できる高度なアプリケーション、データ管理プログラム、広告トラッカー、情報データベースのセット」を発見したと述べている。
セキュリティ企業はまた、AggregateIQアカウントにアクセスするための様々な認証情報、キー、ハッシュ、ユーザー名、パスワードを発見したと発表しました。これらの情報を入手したハッカーは、アカウントに侵入することが可能です。ヴィッカリー氏は、データベースが直接漏洩したわけではないと明言しました。
「これらはデータとやり取りするために使われるツールです」と彼は言った。「データベースそのものではありません。」
Facebookの転換点:今や誰もがこの貪欲な大規模監視活動の実態を知っている
続きを読む
これらのツールを通じてデータベースにアクセスするための認証情報は入手可能だったが、彼はそれを使用していないと述べた。他人の認証情報を使用して許可なくログインすることは、潜在的な法的リスクを伴う。
しかし、ヴィッカリー氏によると、共和党全国委員会と大規模なデータストアについて言及されているという。アップガード氏の投稿には、「真実のデータベース」で説明されているアプリケーションのスクリーンショットが掲載されており、共和党全国委員会のデータと各州の有権者ファイル、消費者データ、サードパーティのデータプロバイダー、その他の情報源を統合している。理論上、このデータベースには数百万人の米国有権者に関する情報が含まれている可能性がある。
ヴィッカリー氏は、自身の調査結果についてさらに投稿することを検討しているが、詳細はまだ決まっていないと述べた。
Upguard の調査結果を知っているかどうかを尋ねられたカナダのプライバシー保護委員会の広報担当者は、次のような声明を発表しました。
現時点でお伝えできることは、ブリティッシュコロンビア州の州政府担当者と連絡を取り、AggregateIQ関連事項の調査を進めており、協議は継続中だということです。現時点では、これ以上の情報はお伝えできません。®
追記:ケンブリッジ・アナリティカは、米国連邦選挙委員会と司法省に提出された苦情の中で、米国の選挙法に違反したとして告発されています。
