Myspaceは隆盛期にユーザーをスパイするツール「Overlord」を使用していた

by Nahel Abdul Hadi

音楽・エンターテインメントを中心としたSNSの「Myspace」は、ユーザーのメッセージやパスワードを盗み見することができるスパイツール「Overlord」を隆盛期に使用していたと海外メディアのVICEが報じています。

When Myspace Was King, Employees Abused a Tool Called ‘Overlord’ to Spy on Users - VICE
https://www.vice.com/en_us/article/j5w4xx/myspace-employees-spied-on-users-with-internal-tool-overlord

Myspaceは2006年秋に総アカウント数が1億件を突破した人気のSNS。2006年頃まではアメリカで2番目に人気なウェブサイトで、Google検索よりも人気なサイトでした。

「人気のソーシャルメディアトップ10」を2002年以降で比較したムービー、Facebook以前は何が流行していたのか？ - GIGAZINE

そんなMyspaceでは「従業員がユーザーのパスワードやメッセージを盗み見ることができるOverlordというツールを使用していた」と、VICEが複数人の元Myspace従業員から入手した情報を基に報じています。Overlordは元々プラットフォーム全体を管理し、Myspaceが法執行機関の要求に準拠できるように設計されたツールでしたが、当時のMyspace従業員は「ユーザーデータに許可なくアクセスする」という違法な目的で利用していたとのこと。

VICEのテクノロジー関連ニュースを取り扱うMotherboardは、Myspaceの内部事情を調べるために匿名の5人の元従業員から情報を得ています。その中で、元従業員のひとりは「Overlordは基本的にMyspaceというプラットフォーム全体のバックドアだった」と語っています。

情報筋によると、Myspace内でユーザーの個人情報を盗み見するような行為が横行していたのは、約10年前の2009年頃。これまでOverlordの存在は明らかにされていませんでしたが、Myspaceの事例は機密データやプラットフォーム上でユーザーが行っているコミュニケーションが、従業員に対しては脆弱であることをよく示しています。

Featured Content on Myspace

1人の従業員の説明によると、Overlordはプラットフォーム上のコンテンツを管理するためにも利用されていたそうで、カスタマーサポートスタッフが著作権侵害による削除要求を強制するためにも使用していたとのこと。

2006年から2010年までの5年間、Myspaceのセキュリティ部門で責任者を務めていたHemanshu Nigam氏に対してVICEが電話でOverlordについて尋ねたところ、「すべての企業が同じようなツールを持っています。それがプラットフォーム上でユーザーが行う虐待行為に対処するためのものなのか、法執行機関や民事の要求に対応するためのものなのか、ユーザーアカウントを管理するためのものなのか、という話です」と語っています。

Nigam氏が主張するように、ソーシャルメディアは合法的にOverlordのようなツールを必要とする可能性もあります。しかし、MyspaceではOverlordを悪用した従業員が解雇された経験もあるとのことで、情報源のひとりは「このツールは恋人のログイン認証情報にアクセスするために(元従業員に)悪用されていました」と語っています。そして、MyspaceはOverlordを悪用していた従業員を特定していた可能性があります。

情報源となった元従業員2人によると、Overlordは非常に使いやすいツールだそうです。Overlordのような管理ツールが平文のままのユーザーパスワードにアクセスできるというのは、今日では非常に珍しいもの。通常、パスワードは暗号化された状態で保存されているため、プラットフォーム側が不正にログインするといったことはできません。

by Markus Spiske

VICEがOverlordについてMyspaceに問い合わせたところ、広報担当者は「(Overlordのような管理ツールを使用することで、)法執行機関や裁判所からの命令に従うことが出来るようになります。また、セキュリティやネット上でのイジメの脅威からユーザーを保護することもできるようになります」とコメントしており、Overlordのような管理ツールの存在がプラットフォーム運営にとって重要であると主張しています。加えて、「ユーザーデータの誤用は解雇につながります」とも述べており、Overlordを悪用した従業員を解雇したことをにおわせる発言もありました。加えて、記事作成時点ではOverlordのようなツールへのアクセスは「非常に少数の従業員に限られています」とのことで、すべてのアクセスログが記録・レビューされていることも付け加えられています。

Myspaceで働いていた元管理職の情報筋は、「どのエージェントがアカウントに不正にアクセスしたかを調べるために検索されます。その後、マネージャーが行動を起こします」と、従業員がOverlordを悪用した場合のプロセスについてコメント。また、Nigam氏は「Myspaceには厳格なアクセス制限があり、ツールの使用が許可される前にトレーニングを行う必要があり、ツールの使用方法については管理上の監視も存在しました」とも語っています。しかしNigam氏は、今日では各プラットフォームがはるかに大量のデータを扱っているため、誤用の影響ははるかに大きくなっており、企業が担う責任はより拡大しているとも指摘しています。

なお、Myspaceの創業者であるTom Anderson氏は、VICEからの問い合わせに対して返答しませんでした。