不満を抱えた開発者、雇用主のネットワークへの報復攻撃で4年の実刑判決

雇用主のネットワーク内で破壊的なロジックボムを仕掛けて報復したソフトウェア開発者が、オハイオ州の裁判所で4年の懲役刑を言い渡されました。

米国司法省によると、55歳の中国籍のデイビス・ルーは、電気機器製造会社イートン・コーポレーションによる2018年の組織再編で上級開発者から降格されたことに不満を抱いていました。

その報復として、2019年にルーは社内システムに隠された悪意あるルーチンを使って破壊工作を開始しました。最初の攻撃は「無限ループ」で、8月4日に実行され、Java VMが新しいスレッドを次々と生成し続け、リソース枯渇により本番サーバーがハングアップまたはクラッシュしました。

さらにルーは、会社のWindows Active Directory（AD）データベースを監視し、自身のアカウントプロファイルが有効かどうかを確認する2つ目の攻撃も隠していました。もし無効になった場合（実際にルーのネットワークアクセスと雇用が9月9日に停止された際に該当）、他のADユーザーのプロファイルを削除してネットワークから締め出す「キルスイッチ」コードが自動的に実行されました。

最終的に、ログからこの妨害行為がケンタッキー州にあるコンピューターからルーのユーザーIDで実行されたことが判明しました。

「被告は自身のアクセス権と技術的知識を利用して雇用主のネットワークを破壊し、米国企業に数十万ドルの損害を与えました」と司法省刑事局のマシュー・R・ガレオッティ氏は述べています。

「しかし、被告の技術的な巧妙さや隠蔽工作も、自らの行動の結果からは逃れられませんでした」と彼は付け加えました。

見ての通り

この事件の奇妙な点は、ルーが自身の計画や行動の証拠をほとんど隠そうとせず、むしろ関与を誇示するかのような行動をとったことです。そのため、3月に陪審員によって有罪判決を受けることになりました。

一例として、ADキルスイッチコードに「IsDLEnabledinAD」という名前を付けており、これは「Is Davis Lu enabled in Active Directory?（デイビス・ルーはActive Directoryで有効か？）」というフレーズの略語でした。

ルーは、検察官が証拠を探す際に最初に調べるのがインターネット検索履歴であることも知っていたはずです。司法省によれば、彼は「権限昇格の方法、プロセスの隠蔽、ファイルの迅速な削除方法などを調査しており、同僚によるシステム障害解決の妨害を意図していたことが示唆される」とのことです。

2019年9月に会社のノートパソコンの返却を求められた時点で、ルーはもはや逃げ切れないと悟ったはずです。彼の対応は、マシンの暗号化ボリュームを削除し、2つのプロジェクトとLinuxディレクトリの削除を試みることでした。ルーの起訴状によると、最終的に2019年10月7日に攻撃の責任を認めました。

一匹狼

これは、企業がハッカーやデータ漏洩よりも恐れる攻撃です。スキルと知識を持つ内部関係者が反旗を翻すことです。

このような攻撃は依然として例外的ですが、裁判で公になった事例はいつも読むだけでストレスを感じさせます。課題は、開発者や管理者が業務遂行のために一定の権限を持たなければならないことです。これにより、被害が発生する前に正当なアクセスと暴走する一匹狼を区別するのが本質的に難しくなります。

この事件は、管理者権限を制限し、ログ監査によって不審な傾向を監視する必要性を強調しています。何か異常が検知されたら、迅速に対応できる人員が必要です。これらの管理策が存在するだけでも抑止力となり得ます。

しかし、過去10年で状況は大きく変わりました。例えば、サンフランシスコのネットワーク管理者テリー・チャイルズの事件では、彼は市のFiberWANシステムの管理者パスワードの引き渡しを拒否し、2008年に12日間組織の管理権限を奪いました。彼の言い分は「自分だけが正しくシステムを管理できる」というものでした。

シスアド界隈でチャイルズに同情する声もありましたが、今日では一人の従業員にシステムへの単独アクセスを与えるという考えは、すぐに裁判で却下されるでしょう。2010年に有罪判決を受けたチャイルズは、4年の懲役と150万ドルの賠償金を命じられました。

それでも、悪用の例は今も後を絶ちません。最近の大胆な例としては、ニコラス・シャープの事件があります。Ubiquiti Networksの高給管理者だった彼は、2020年に会社からデータを盗み、他の従業員に罪をなすりつけようとし、さらにデータ返還のために200万ドルを脅し取ろうとしました——しかも、攻撃の修復作業を装いながら。