顔認識会社Clearviewのソースコードがサーバーの設定ミスにより公開される

この記事はLeiphone.comから転載したものです。転載する場合は、Leiphone.com公式サイトにアクセスして許可を申請してください。

今年初めにさまざまなメディアで取り上げられて以来、テクノロジー系スタートアップのClearview AIは物議を醸している。

Leifeng.com の以前の報道によると、同社はウェブサイトやソーシャルメディアプラットフォームからキャプチャされた 30 億枚の画像を含む、巨大な顔認識データベースを保有している。ユーザーは興味のある人物の写真をアップロードし、ソフトウェアはデータベース内の類似画像を照合して、アップロードされた写真の人物の身元を確認します。

このニュースが報じられるとすぐに、FacebookやGoogleなどのテクノロジー企業はサードパーティとの契約の解除を要求した。イリノイ州とバージニア州もこのプログラムの停止を求めて訴訟を起こした。

最近、プログラムのソースコード漏洩によるセキュリティ上の脆弱性が多くのメディアを心配させています。 TechCrunchは、サイバーセキュリティ企業SpiderSilkの最高セキュリティ責任者Mossab Hussein氏が、Clearview AIの無防備なサーバーを発見したと報じた。サービスライブラリはパスワードで保護されていたが、サーバーは誰でも新規ユーザーとして登録し、ソースコードが保存されているサーバーにログインできるように構成されていた。

サーバーには、Clearview AI のクラウド ストレージへのアクセスを許可する同社の秘密鍵と資格情報もいくつか保存されており、Windows、Mac、Android、iOS システムのコピーへのアクセスが可能になっていた。少し前、Apple はルール違反を理由にこのアプリをブロックしました。フセイン氏によると、同社はクリアビューのSlackトークンも公開しており、これが使用されれば、同社の社内プライベート通信にパスワードなしでアクセスできる可能性があったという。

画像：Clearview AI の iOS アプリではログインは不要だとフセイン氏は語った。彼はアプリがどのように動作するかを示すためにいくつかのスクリーンショットを撮りました。この例ではマーク・ザッカーバーグの写真が使用されています。

Clearview AI は、この技術の使用を法執行機関のみに許可していると主張しているが、報告によると、同社は Macy's、Walmart、NBA などの企業ユーザーを獲得しているという。

Clearview AIの創設者であるホアン・トンザット氏は、「当社は数多くのサイバー侵入に耐えており、セキュリティ保護の強化に多額の投資を行ってきた」と語った。

Hoan Ton-That 氏は HackerOne と共同で脆弱性報奨金プログラムを設立し、Clearview AI の脆弱性を発見したセキュリティ研究者に報奨金を支払っているとみられる。以前に公開された脆弱性では、個人を特定できる情報、検索履歴、生体認証情報は漏洩しませんでした。

しかしフセイン氏は別の見方を示した。同社のクラウドストレージで、住宅に設置されたカメラで撮影された約7万本のビデオを発見したのだ。彼はClearview AIに事情を説明したが、報奨金に署名するとセキュリティの脆弱性を公表できなくなると考え、報奨金の受け取りを拒否した。

ホアン・トン・ザット氏は、映像は建物管理者の許可を得て撮影されたもので、防犯カメラのプロトタイプ作成の一環として未加工のビデオを収集するなど、デバッグ目的のみで撮影されたと説明した。

建物自体はマンハッタンにあると伝えられており、建物のロビーが記載されたいくつかの土地のリストがこれを裏付けている。しかし、建物を管理する不動産会社の代表者らは反応しなかった。

クリアビューAIは、個人を特定できる情報、検索履歴、生体認証情報は漏洩していないと述べ、追加の不正アクセスが発生していないことを確認するためにサーバーの包括的な監査を実施したと付け加えた。サーバーによって公開されるキーも変更されたため、機能しなくなりました。

長年にわたり、データ漏洩の脅威、データ保護の責任、そしてそれが企業やテクノロジー業界の発展に与える影響は、ますます注目を集めています。

EU GDPRは2016年4月に承認され、2018年5月に正式に施行されました。規制によって提案されている最低要件には、データ保護責任、データ主体の同意、データアクセス権、データ開示メカニズムなどが含まれます。

実際のところ、私たちは公共データのセキュリティ問題をどのように管理するかについて、ずっと前から検討すべきでした。まず、企業は、こうしたデータがいつ収集され、使用される可能性があるかをユーザーにもっと認識させる必要があります。同時に、企業が将来同じ方法を使用することを防ぐために、法律の力を最大限に活用してユーザーに新たな保護を提供する必要があります。

今のところ、Clearview AI は議論の余地のあるトピックのままです。今週初め、ハッカーがClearview AIの顧客リストを入手したことが明らかになった。セキュリティ問題がユーザー以外にも多くの人々の注目を集め続けていることを知っている人はほとんどいません。