開発者、雇用主への復讐で4年間の実刑判決

JHVEPhoto | shutterstock.com

不満を持つ従業員がデジタルで雇用主に報復すると、双方にとって深刻な結果をもたらすことがあります。特に、その従業員がソフトウェア開発者の場合はなおさらです。米国の電機大手Eaton Corporationは、2018年の組織再編で従業員の一人を降格させたことで、このような事態に直面しました。デイビス・ルーは、当時同社のシニア・デベロッパーとして働いていた55歳の中国籍の人物で、この降格をきっかけに雇用主への復讐を決意しました。

2019年から、ルーはEatonのシステム内部に悪意あるルーチンを仕込み、破壊工作を開始しました。最初の破壊行為は2019年8月初旬に行われた「無限ループ」で、JavaのVMが継続的に新しいスレッドを生成し続けるものでした。その結果、生産用サーバーは応答しなくなり、リソースの過負荷でクラッシュする事態となりました。さらにルーは、同社のWindows Active Directory（AD）データベースが定期的に自身のアカウントプロファイルが有効かどうかを確認するように仕掛けました。もしプロファイルが削除された場合、自動的に他のユーザーのADプロファイルも削除し、ネットワークから排除する「キルスイッチ」もコード化していました。実際、2019年9月初旬にルーのネットワークアクセスが完全に停止され、雇用契約が終了した際にこれが実行されました。

最終的にルーの犯行が明るみに出たのは、障害が彼のユーザーIDと関連していることを示すログがあったためです。「被告は雇用主の信頼を裏切り、自身のアクセス権と技術的知識を使って企業ネットワークを破壊工作しました。その結果、会社は数千ドルの損害を被りました」と、米司法省刑事局のマシュー・R・ガレオッティ次官補はコメントしています。

ずさんな隠蔽工作

奇妙なことに、ルーは自身の犯行の証拠を隠す努力をほとんどしませんでした。むしろ、彼は自分の行為をあえて公にしたかったかのようです。これが裁判で不利に働くこととなりました。その一例が「ADキルスイッチ」の命名で、「IsDLEnabledinAD」と名付けており、DLは彼のイニシャルです。

また、捜査当局が真っ先に彼のインターネット活動を調査することも予想できたはずです。実際、その通りになりました。「彼のインターネット検索履歴には、権限の拡張方法、プロセスの隠蔽、ファイルの迅速な削除方法などを調べていた形跡があり、同僚による障害復旧の妨害を意図していたことが示唆されます」と米司法省はプレスリリースで述べています。

2019年9月、ルーが会社のノートパソコンの返却を求められた際、彼はすでに事態を察知していたようです。そのため、端末の暗号化ボリュームを削除し、同時に2つのプロジェクトとそのLinuxディレクトリも削除しようとしました。起訴状によると、ルーは2019年10月初旬には破壊行為を認めています。2025年3月、米国の陪審員は彼に有罪判決を下し、オハイオ州の裁判所は4年の実刑を言い渡しました。

コントロールされていない管理者――内部からの脅威

企業がサイバー攻撃やデータ漏洩以上に恐れるものがあるとすれば、それは内部犯行に及ぶ従業員です。特に高度な技術力を持つ場合はなおさらです。デイビス・ルーの事件のような事態が起こり得るのは、開発者や管理者が業務上特定の権限を持たざるを得ないという事情があります。そのため、企業は正当なアクセスと個人による「デジタル暴走」を区別しにくく、被害が出る前に介入するのが難しいのです。

この事件はまた、管理者権限の制限や、ログによるユーザー行動の監視の必要性を浮き彫りにしています。こうした管理策が存在するだけでも抑止効果があります。（tf/fm）

ITセキュリティに関するさらに興味深い記事をお読みになりたいですか？無料ニュースレターにご登録いただくと、セキュリティ担当者や専門家が知っておくべき情報をすべて、直接メールでお届けします。