機密性の高い政府システムを扱う職員を慎重に審査すること、そして解雇した瞬間にそのアクセス権を遮断することは賢明だ。検察によると、ある連邦政府の契約企業はこれを痛感することになった。かつてハッキング関連の犯罪で有罪判決を受けた双子の兄弟が、解雇後も残っていたアクセス権を悪用し、国土安全保障省(DHS)やその他の機関に関連するシステムを含む、ほぼ100件の政府データベースを、解雇から数分以内に削除した疑いが持たれているという。
兄弟は、解雇を告げられた電話の最中にこの計画を企てたとされ、足跡を消すためにAIに助けを求めたという。
バージニア州アレクサンドリア在住のムニーブ・アクターとソハイブ・アクターの双子の兄弟(ともに34歳)は、米政府の情報を保存するために使われていたデータベースを削除する共謀の罪で、11月13日に起訴された。
2人はともに、連邦政府の契約企業で働いており、その企業は法廷文書 [PDF] の中で「企業1」として記載されている。以前のBloombergの報道によると、これはワシントンに拠点を置き、連邦機関向けにソフトウェアとサービスを提供し、情報自由法(FOIA)請求ポータル「FOIAXpress」を開発したOpexusだという。
Opexusの広報担当者は、The Registerに次の声明をメールで送った。
Opexusが兄弟を解雇した直後、2人は「許可なくコンピュータにアクセスし、データベースをライトプロテクトし、データベースを削除し、情報を盗み、自らの違法行為の証拠を破壊することで、企業1およびその米政府顧客に損害を与えようとした」と起訴状は主張している。「被告らが違法な目的を達成するために必要なデータベースコマンドを知らなかったときには、人工知能ツールを利用してそれを補った。」
同社が2人を解雇したのは2月18日の16時50分頃で、その5分後、ソハイブはOpexusのネットワークへの侵入を試みたが、VPNが無効化され、Windowsアカウントも停止されていたため失敗したと、法廷文書は述べている。
しかしムニーブは、なおも社内ネットワークに接続された状態で、16時56分頃にある政府機関のデータベースへアクセスし、他のユーザーがそのデータベースに接続したり変更を加えたりできないようにするコマンドを実行した上で、データベースを削除したとされる。
連邦当局によれば、ムニーブは合計で96件の、米政府の情報を保存していたデータベースを削除したとされる。これらの多くには、情報自由法に関する記録や文書、さらには連邦政府の各省庁・機関の機密性の高い捜査ファイルが含まれていた。
国土安全保障省の本番データベースを削除した後、ムニーブはAIに対して「データベースを削除した後にSQLサーバーからシステムログを消去するにはどうすればよいか(how do i clear system logs from SQL servers after deleting databases)」と尋ねたと、法廷文書は記している。
その直後、ソハイブは「たぶんここは家宅捜索されるだろう(they’re gonna probably raid this place)」と言い、それに対してムニーブは「俺がこのクソを片付ける(I’ll clean this shit up)」と答えたという。起訴状によれば、ソハイブは「もう一つの家の方も片付けないといけないな(We also gotta clean stuff up from the other house, man)」と応じたとされる。
その後ムニーブは、AIに対して「Microsoft Windows Server 2012からすべてのイベントログとアプリケーションログを消去するにはどうすればよいか(how do you clear all event and application logs from Microsoft windows server 2012)」と尋ねたとされる。
ムニーブは、コンピュータ詐欺および記録破壊の共謀、2件のコンピュータ詐欺、米政府記録の窃盗、そして2件の加重個人情報盗用の罪で起訴されている。
ソハイブは、コンピュータ詐欺および記録破壊の共謀、ならびにコンピュータ詐欺(パスワードの不正取引)の罪で起訴されている。
有罪となった場合、ムニーブは加重個人情報盗用の各罪について最低2年の実刑が科されるほか、残りの罪状について最長45年の禁錮刑に直面しており、ソハイブは最長6年の禁錮刑に直面している。
2人は水曜日に出廷し、現在も拘束中であり、金曜日に勾留審問が予定されている。
兄弟は2015年、米国務省およびある化粧品会社に対するハッキングに関連する連邦犯罪について有罪答弁を行っている。
司法省(DOJ)によると、2015年当時、ソハイブは国務省で契約社員として働いており、自身を捜査していた捜査官を含む同僚らの個人識別情報にアクセスしていた。2013年には、ムニーブがデータ集約企業の契約社員として働いており、盗み出したデータを利用して、自身のビジネスが高額な連邦契約を獲得できるようにしていた。
兄弟は化粧品会社に侵入し、数千人分の顧客のクレジットカード情報や個人情報を盗み出した後、そのクレジットカードを使って航空券、ホテル予約、専門カンファレンスへの参加費などを購入した。ムニーブはまた、盗んだデータを別の犯罪者に提供し、その人物はダークウェブ上でデータを販売し、その利益の一部をムニーブに渡していた。
これら以前の犯罪について、ムニーブには39カ月の禁錮刑、ソハイブには24カ月の禁錮刑が言い渡された。
Opexusは兄弟を解雇した理由を明らかにしていないが、Bloombergが公開した、事件の最中にソハイブが他の従業員に送ったとされるメールから、過去の犯罪歴が発覚したことが解雇の原因であることが強く示唆されている。
「Opexus/CasePointは、あなた方のデータを扱うために、セキュリティクリアランスのない人員を雇っています。私はそのようなクリアランスのない人員の一人でした。データベースは安全ではなく、全員が同じユーザー名とパスワードでアクセスできる状態です。私は、あなた方の中の何人かが、私があなた方のデータを扱うのに不適格だと判断したために解雇されました」と、ソハイブは書いたとされている。®
