セキュリティ
元従業員は「これはインサイダー脅威の定義に該当する」と主張
Huntress CEOのKyle Hanslovaは、同社に現在も在籍する脅威ハンターとサイバー犯罪者との間で「問題のある長期的なやり取りが行われていた」ことを認め、これを「判断の誤り」と表現しました。
Hanslovaは、ある元従業員から現在のHuntressアナリストがインサイダー脅威に当たるとの指摘を受けた件について、ブログ投稿の中で次のように述べています。「ある特定のやり取りの中で、現在の社員が、法執行機関からその脅威アクターについて連絡があったことを、脅威アクター本人に漏らしていました。この行為は違法ではありませんでしたが、判断の誤りを反映するものでした」と書いています。
この問題が表面化したのは先週のことです。2月に同社を退社した元Huntressセキュリティオペレーションアナリストのベン・フォーランド氏が、「別のHuntress社員が、米国法執行機関からの連絡内容をサイバー犯罪者のDevmanに渡した。Devmanは私の家族と私を積極かつ公然と標的にしている人物だ」と告発しました。
Devmanはロシアに拠点を置くとみられるランサムウェアの運営者で、流出したContiのソースコードをベースに構築された改変版DragonForceコードを使用しています。
フォーランド氏はまた、このインサイダーは現在もHuntressに在籍しており、「FBIに摘発された」と主張。Devmanとの関与について、「Huntressの信頼性に重大なダメージをもたらすものであり、私の見解では、クライアントへのリスクが現在も続いている」と述べています。
「サイバーセキュリティ企業の従業員であれば、サイバー犯罪者を助けるべきではありません。捜査が進行中であることを知らせるべきでもありませんし、自らがサイバー犯罪行為に加担するなど論外です」とフォーランド氏は語っています。
当初、Hanslovaはフォーランド氏の告発を「強く否定する」としながらも、当該社員と犯罪者の間に何があったのかについては詳細な説明を控えていました。
しかし火曜日のブログ投稿でHanslovaはさらに踏み込み、この一連のやり取りはインサイダー活動には当たらないという見解を示しました。
「調査の結果、私のチームは研究者向けのポリシーを強化し、脅威アクターとの接触に関する指導を行い、適切な管理上の措置を講じました」と彼は述べています。「違法行為、インサイダー活動、あるいは追加の情報漏洩を示す証拠は現時点では確認されていませんが、調査は継続中です。社員のプライバシー権に配慮し、調査に関してこれ以上のコメントは差し控えます。」
一方、フォーランド氏は反論を続けています。火曜日のLinkedIn投稿でHanslovaのブログに反応し、HuntressアナリストとDevmanとのやり取りは「インサイダー脅威の定義に該当する」と主張しています。
フォーランド氏はLinkedInの投稿の中で、FBIがDevmanに関する情報を求めてHuntress社員に接触した際、「彼女は即座にFBIとのやり取りをそのまま脅威アクターに転送し、その中にはFBI捜査官の名前が含まれたスクリーンショットも含まれていました。彼女はDevmanに対し、法執行機関が積極的に彼を調べていることを知らせたのです。また、捜査当局がDevmanを求めていたにもかかわらず、協力を拒否しました」と主張しています。
フォーランド氏によると、このHuntress現役アナリストに関する件は、FBIから本人に直接通知されたとのことです。
The RegisterはFBIにコメントを求めましたが、回答は得られませんでした。
「これは単なる”判断の誤り”ではありません」とフォーランド氏は書いています。「これは、Huntressの社員が法執行機関の動きに関する機密情報を入手し、捜査対象の人物に直接渡した行為です。銀行員が詐欺師に『警察があなたを捜査している』と教えたとして、誰がそれを単なる”判断の誤り”と表現するでしょうか。誰もがそれを正しい名前で呼ぶはずです――インサイダー、と。」
Huntressはこれ以上のコメントを拒否しています。 ®
