テネシー州スプリングフィールド在住のニコラス・ムーア(24)は、複数の米国政府システムに関わる不正なコンピューターアクセスについて有罪を認めた。
この事件は、同国最高裁のデジタルインフラに対する重大な侵害であり、政府の認証情報管理慣行における脆弱性を露呈した。
ムーアは、権限を持つ利用者の盗まれた認証情報を用い、2023年8月29日から2023年10月22日までの間に少なくとも25回、米連邦最高裁の制限付き電子提出システムへ不正アクセスした。
この提出システムは認可された職員専用に設計されており、機密性の高い裁判所文書、事件の提出書類、司法関連情報を含んでいる。
ムーアは同じ日に複数回、侵害されたシステムへ繰り返しアクセスしており、継続的なアクセスと偵察活動を示している。
とりわけ注目すべき点として、ムーアは被害者の詳細を示す最高裁提出システムのインターフェースのスクリーンショットを撮影し、自身のInstagramアカウント@ihackedthegovernmentに投稿することで侵入を記録した。
政府システムへのアクセスを公に開示したことは重大な運用セキュリティ上の失敗であり、攻撃者がソーシャルメディア上で侵害を公然と宣伝していたことになる。
ムーアは主たる攻撃手法として認証情報の窃取を用い、3つの別個の連邦システムにわたって権限を持つ利用者アカウントを侵害した。
2023年8月17日から10月13日にかけて、ムーアは盗んだMyAmeriCorpsの認証情報を用いてAmeriCorpsのシステムにアクセスし、権限を持つ利用者のアカウントから個人情報を抽出した。その後、被害者の個人データを自身のInstagramアカウントに投稿した。
攻撃者はまた、米海兵隊退役軍人のログイン認証情報を侵害し、2023年9月14日から10月14日までの間に5回にわたり、退役軍人省(VA)の「MyHealthEVet」プラットフォームへアクセスした。
この侵害により、処方薬や極めて私的な健康情報を含む機微な医療データが露出した。ムーアはVAシステムへのアクセスを誇示しながら、退役軍人の非公開の健康記録をInstagramに投稿した。
ムーアは、A級軽罪に当たるコンピューター詐欺1件について有罪を認めた。ワシントンD.C.の米連邦地方裁判所でベリル・A・ハウエル判事のもと、2026年4月17日に予定されている量刑言い渡しにおいて、最長1年の禁錮刑および最大10万ドルの罰金が科される可能性がある。
捜査には、最高裁警察保護情報部門、FBIワシントン支局、退役軍人省監察総監室、AmeriCorps監察総監室が関与した。
コロンビア特別区では、米国検察局のジョン・ボーチャートおよびラミ・シベイ両検事補が本件を起訴した。
本件は、政府の認証情報管理における根強い脆弱性と、職員のログイン認証情報が侵害された場合に生じるリスクを浮き彫りにしている。すなわち、追加の認証メカニズムを作動させることなく、攻撃者が複数の重要システムへアクセスできてしまうのである。