Opexusは、双子のムニーブ・アクターとソハイブ・アクターを採用した際に重要な危険信号を見落としていたことを認めた。同社は、兄弟が2015年に有罪を認めた犯罪(電信詐欺や国務省へのハッキングを共謀したことなど)を把握できていなかった。これらの犯罪は、兄弟が連邦政府機関の請負業者として働いていた時期に行われたものだ。それでもこの連邦政府の請負業者は、2023年と2024年に兄弟を採用する前に7年分の身元調査を実施したとしている。
Opexusは2月、彼らが報復として政府データを盗み、破壊したとされる数分前に解雇した。Opexusの広報担当者はCyberScoopに対し、身元調査は「より機微な業務に対する追加要件を含め、政府および業界の一般的な基準と整合していた。とはいえ、追加の精査が行われるべきだったことは全面的に認める」と述べた。
ムニーブ・アクターとソハイブ・アクターは、2月の1週間の期間中に一連の内部攻撃犯罪を行った疑いで、12月3日にバージニア州アレクサンドリアで逮捕された。これにより、国土安全保障省、内国歳入庁(IRS)、雇用機会均等委員会(EEOC)など複数の連邦機関のデータが最終的に侵害されたという。
Opexusは、双子の過去の犯罪歴を知った時点で雇用を終了することを決めたと述べたが、どのようにして以前の犯罪を把握したのか、また何がきっかけで過去をより深く調べることになったのかは説明しなかった。兄弟の過去の犯罪は当時広く報じられており、各人の名前で検索エンジンを使えば容易に入手できる詳細も含まれている。
45以上の連邦機関にサービスを提供しデータをホストしているワシントン拠点の同社は、ムニーブ・アクターとソハイブ・アクターの採用および解雇において複数の誤りがあったことを認めている。
同社の広報担当者は「オンボーディングと同様に、解雇も適切な方法で処理されなかった」と述べた。
広報担当者はさらに、「当時これらの人物は身元調査を通過していたが、この事案により、当社のスクリーニング手順はさらに強固である必要があることが明確になった」と付け加えた。「その後、当社は審査プロセスを強化し、当社が管理するシステムと情報の保護を強めるための追加の安全策を実装した。」
起訴状によれば、ムニーブ・アクターは解雇の5分後にOpexusのコンピューターネットワークにアクセスしたとされる。検察によると、1時間以内に、Opexusがホストしていた米政府情報を保存する約96のデータベース(機微な捜査ファイルや情報公開法(FOIA)関連の記録を含む)を削除した疑いがある。
ムニーブ・アクターは同日の夜、国土安全保障省の本番データベースを削除し、EEOCに属する1,800超のファイルをコピーし、少なくとも450人分の個人を特定できる情報を含むIRS記録のコピーを盗んだ疑いもある。
Opexusはその後、解雇直後に双子が会社のコンピューターや同社が管理するシステムへアクセスできないよう確実にすることができなかったという誤りに対処したと述べた。広報担当者は、同社が「適切な是正措置を講じ、今後当社の標準業務手順を厳格に順守できるよう、人事機能全体で研修を強化した」と語った。
同社は、同様の結果を防ぐことを目的として、これらの内部攻撃への対応として他の措置も講じたと述べた。
広報担当者は「双子の採用に関与した人物はすでにOpexusを退職しており、当社はその後、組織全体でスクリーニング手順を強化した」と述べた。「これらの強化には、標準の身元調査期間を10年に拡大することに加え、標準の採用プロセスに組み込まれた追加の安全策が含まれる。」
Opexusはまた、データ復旧の支援や、内部レビューのためのリソースおよび専門知識の提供を通じて、内部侵害の影響を受けた顧客を支援したとも述べた。広報担当者は「顧客情報の安全は当社の最優先事項であり、採用、コンプライアンス、内部統制における継続的な改善に引き続き取り組む」と述べた。
同社は、この件に関する法執行機関の対応に感謝していると述べ、ムニーブ・アクターとソハイブ・アクターが疑われている犯罪について責任を問われていることを評価していると付け加えた。
ソハイブ・アクターは、パスワードの不正取引およびコンピューター詐欺と記録破壊を行う共謀の罪で、最長6年の禁錮刑に直面している。
ムニーブ・アクターは、コンピューター詐欺と記録破壊を行う共謀、コンピューター詐欺2件、米政府記録の窃盗、加重身元窃盗2件で起訴されている。身元窃盗については禁錮4年の法定最低刑が科され、その他の罪については最長45年の禁錮刑に直面している。
翻訳元: https://cyberscoop.com/opexus-background-checks-insider-attack-muneeb-sohaib-akhter/
