元L3ハリスの幹部が水曜日、営業秘密窃盗の2件で有罪を認め、数百万ドルと引き換えに8つのゼロデイ脆弱性をロシアの仲介業者に販売したことを認めました。
ピーター・ウィリアムズ(39歳)は、コロンビア特別区地方裁判所で営業秘密窃盗の2件について有罪を認めました。裁判記録によると、ウィリアムズは3年間にわたり、L3ハリスの子会社であるトレンチャントでのアクセス権を利用し、少なくとも8つの脆弱性を盗み出しました。当局によれば、これらのソフトウェア資料は米国政府および信頼できる同盟国のみが独占的に使用するために設計されていました。
当局は、ウィリアムズが盗まれたサイバー脆弱性コンポーネントを、ハッキングツールの再販業者を自称するロシアの組織に販売したと述べました。裁判での証言によれば、その仲介業者はロシア政府を含む複数の顧客にサービスを提供しています。
罪状認否の公聴会で明らかになった情報によると、ウィリアムズはかつてオーストラリア信号局のメンバーも務めており、ロシアの仲介業者と複数の契約を結び、営業秘密と引き換えに数百万ドル相当の暗号通貨を受け取っていました。当局によれば、彼はその後、その収益で高級品を購入したとのことです。これらの取引は2022年から今年にかけて行われ、暗号化された通信チャネルを使って行われたとされています。
政府は仲介業者を「会社3」とだけ呼んでいましたが、裁判で読み上げられた詳細から、その仲介業者は自らを「唯一の公式ロシアゼロデイ購入プラットフォーム」とウェブサイトで称するOperation Zeroであることが示唆されました。公聴会中、米国連邦検事テジパル・チャウラ氏は、会社3に関連するSNS投稿を読み上げ、iOSやAndroidの脆弱性に対して数百万ドルを提示し、「いつものように、最終利用者は非NATO加盟国です」と述べていました。この表現は、2023年にOperation ZeroがXに投稿した内容を指しています。
この罪状には、それぞれ最長10年の懲役と、最大25万ドルまたは損失額・不正利益の2倍の罰金が科される可能性があります。しかし、公聴会で説明された連邦量刑ガイドラインによれば、ウィリアムズの量刑は87か月(7年3か月)から108か月(9年)の間になる見込みです。最終的な判決はローレン・アリカーン判事が決定します。
司法省は、この窃盗により防衛請負業者に3,500万ドルの損失が生じたと推定しています。検察官は、このような高度なサイバー能力が外国勢力に不正に移転されたことで、「多くの無防備な被害者」に対して高度なツールが使用された可能性が高いと述べました。
L3ハリスは広報担当者を通じてコメントを控えました。
「ウィリアムズは、まず知能関連ソフトウェアを盗み、次にロシアとの関係を誇示する外国仲介業者に販売することで、米国と雇用主を裏切った」と、国家安全保障担当司法次官ジョン・A・アイゼンバーグ氏は声明で述べました。アイゼンバーグ氏は、この行為の「意図的かつ欺瞞的」な性質を強調しました。
米国連邦検事ジャニーン・ピロ氏は、国際的なサイバー仲介業者を「次世代の国際武器商人」と表現し、攻撃的な技術手段の移転を促進する役割に言及しました。彼女は、内部関係者や仲介業者の起訴が国家安全保障捜査官の優先事項であり続けると述べました。
ウィリアムズは判決まで自宅軟禁下に置かれ、判決は1月に行われる予定です。
