ダラス郡による60万ドルの和解は、すべてのペンテスターがすでに恐れていたことを裏づけた――たとえ許可されたセキュリティ業務であっても、手錠をかけられる可能性がある。
アイオワ州ダラス郡が、2019年に逮捕された2人のペネトレーションテスターと60万ドルで和解することに同意したというニュース――しかも彼らは裁判所のセキュリティを評価するために契約され、正式に許可されていたにもかかわらず――は、業界全体への警鐘となるべきだ。
コロラド州拠点のCoalfire Labsの社員であるGary DeMercurioとJustin Wynnは、アイオワ州司法部門(Iowa Judicial Branch)との州全体の案件の一環として、ダラス郡裁判所のレッドチームによるセキュリティ評価を実施していた。彼らには、交戦規定を明記した署名済み契約があった。正式な許可書――業界で言うところの「逮捕免除カード(get out of jail free card)」――もあった。すべて正しく行っていた。それでも彼らは20時間を留置場で過ごし、重罪の侵入窃盗罪に直面し、キャリア、評判、人生を根底から揺るがす約7年に及ぶ法廷闘争を耐え抜くことになった。
エクスプロイト
サイバー
ランサムウェア
2026年1月23日――裁判開始予定のわずか5日前――に成立したこの和解は、物理的ペネトレーションテストのリスクに関する、サイバーセキュリティ業界で最も悪名高い教訓話となった一件に区切りをつけた。しかし、議論に終止符を打つものではない。むしろ、事態の重大さを一段と引き上げた。
その夜に何が起きたのか
2019年9月11日、DeMercurioとWynnは真夜中過ぎ、アイオワ州アデルのダラス郡裁判所に到着した。彼らにとって初めての経験ではない――数日前には、他の2つのアイオワ州の裁判所で問題なくテストを成功させていた。アイオワ州司法部門は、州の裁判所システム全体にわたるサイバーおよび物理セキュリティの評価をCoalfireに委託していた。契約には、ロックピッキング、テールゲーティング、職員になりすます行為、制限区域へのアクセスなど、物理的攻撃が明確に許可されていた。
2人が到着すると、裁判所の脇の扉が開け放たれているのを見つけた。無防備な扉からそのまま入るのではなく、彼らは施錠を作動させるために扉をいったん閉め、その後、即席の道具――切り欠きを入れたプラスチック製のまな板――を使って隙間から差し込み、ラッチを外した。この手法は現実世界の脆弱性を示すものだった。侵入後、彼らは意図的に警報を作動させ、法執行機関の対応時間と手順をテストした。
アデル警察署とダラス郡保安官事務所の保安官代理が数分で到着した。DeMercurioとWynnは手順どおりに行動した。施設から出て身分を明かし、許可書を提示し、警官が資格情報を確認する間、落ち着いて待った。その夜のボディカメラ映像では、やり取りはプロフェッショナルで、むしろ友好的ですらあった。保安官代理は許可書に記載された連絡先に電話し、案件が正当であることを確認し、ペンテスターに対して問題ないと伝えた。DeMercurioとWynnはその後10〜20分間、後に彼らの弁護士が「武勇伝(war stories)」と表現した話を、仕事に興味を持って質問してくる保安官代理たちと交わしていた。
そこへ、ダラス郡保安官Chad Leonardが到着した。
裁判記録によれば、Leonardが現場に来たとき、居合わせた保安官代理の1人が「これは面白くなりそうだ」と言い、その後「ビデオ撮影を止めたほうがいいな」と述べてボディカメラをオフにしたとされる。州の機関が自分の管轄だと考える領域で活動を許可したことに腹を立てた(「激怒した」)とされるLeonardは、アイオワ州司法部門の権限を認めることを拒否した。そして、その場で2人を逮捕するよう部下に命じた。
DeMercurioとWynnは、重罪の第3級侵入窃盗および侵入用具所持の容疑でダラス郡拘置所に収監された。2人は合計10万ドルの保釈金で釈放されるまで、約20時間拘束された。
余波
電話一本で解決できたはずのことが、物理セキュリティテストが法執行機関、地方自治体、さらにはそれを発注する組織にさえどのように理解されているかという点に深い亀裂を露呈させる、何年にもわたる苦難へと発展した。
逮捕後の数週間、Leonard保安官は、2人が違法に行動したと繰り返し公に主張し、保安官代理が到着した際に彼らが「バルコニー越しに七面鳥みたいにしゃがんで覗いていた」と記者に語った。容疑は最終的に重罪の侵入窃盗から軽犯罪の不法侵入へと減軽されたが、契約で許可されていた業務に対しては、それですら過剰だった。
おそらく最も深刻だったのは、テストを命じた州当局者が、自分たちの請負業者から距離を置き始めたことだ。DeMercurioは後に、「この州の機関で働く人たちは自分の職を失うことを恐れるあまり、契約を削除して、証拠がすべて逆を示しているのに『人生で一度も会ったことがない』と言うことさえ厭わなかった」と回想している。アイオワ州司法部門は、物理的な侵入や時間外の立ち入りを許可する意図はなかったと公に述べたが、これは書面の契約内容と真っ向から矛盾していた。
デジタルセキュリティ
ランサムウェア
コンピュータセキュリティ
州議会は、「司法部門がどうして犯罪を行うために企業と契約できたのか」を問う公聴会を開いた。アイオワ州最高裁のMark Cady首席判事は公に謝罪し、この事件が「裁判所制度に対する公衆の信頼と信用」を損なったと述べた。政治的な反動は苛烈だった――そして、その矛先は誤った相手に向けられていた。
刑事告発は、ダラス郡に対応を迫った州議会の公聴会を受け、2020年初頭にようやく棄却された。しかし、その時点で被害はすでに生じていた。DeMercurioとWynnのマグショットは全米に拡散した。Wynnの言葉を借りればこうだ。「人はマグショットを見ると、刑務所の照明がどれだけ良くても、すぐに犯罪者だと思い込む。これは私たちの私生活にも、職業上の機会にも、昇進にも、求人にも、確実に尾を引いている。」
DeMercurioは、逮捕歴のせいで、キャリアをかけて築いてきた分野で事実上雇ってもらえなくなったと気づいた。「逮捕歴があるから、もう誰も雇ってくれない」と彼は言った。「だから自分で会社を立ち上げるしかなかった。」その会社がKaiju Securityであり、現在Wynnが社長を務めている――野心から生まれたのではなく、必要に迫られて生まれた会社だ。
民事訴訟
2021年、DeMercurioとWynnは、虚偽逮捕、手続の濫用、名誉毀損、故意の精神的苦痛の付与、悪意ある訴追を理由に、ダラス郡およびLeonard保安官を相手取って民事訴訟を提起した。事件は何年にもわたり州裁判所と連邦裁判所の間を行き来し――ダラス郡地方裁判所からポーク郡地方裁判所、そしてアイオワ州南部地区連邦地方裁判所へと移された。
ダラス郡側の主張は、アイオワ州裁判所管理者(Iowa State Court Administrator)には「郡所有の裁判所への立ち入りを許可する権限がない」ため逮捕は正当だった、というものだった。これは管轄に関する技術論であり、根本的な現実を無視している。署名済み契約と確認済みの許可書を持つ2人の専門家が、雇われたとおりの仕事をしただけで逮捕され、投獄され、公に中傷されたのだ。
和解は、陪審員選定の数日前である2026年1月23日に成立した。ダラス郡は責任を認めなかった。60万ドルの支払いは郡から拠出される――つまり、保安官の自尊心に突き動かされた判断のツケを納税者が払うことになる。
「複雑な気持ちです」とDeMercurioはDark Readingに語った。「ある程度は名誉回復できたように感じてうれしいですが、決して元どおりにはなりません。過去6年間のキャリアで失った金額は、その数字をはるかに超えています。」
教訓ではなく、脅し
ここからさらに悪くなる。和解後、ダラス郡検事Matt Schultzは、国内のすべてのセキュリティ専門家が警戒すべき公的声明を出した。
「明確にしておきたいのは、この民事事件につながった刑事告発を棄却する決定は、前任の郡検事によってなされたということです。今後同様の状況が再び起きた場合、私は法の許す最大限の範囲で起訴することを、ここに公衆へ通知します。」
この意味を噛みしめてほしい。不当逮捕の申し立てを和解するために60万ドルを支払った郡が、今度は同じことをまたやると公然と脅している。これは説明責任ではない。改革でもない。反抗だ。
アイオワ州最高裁はその後、施設における侵入型の物理セキュリティテストを禁止した――これはリスクを減らすのではなく、実際の敵対者が悪用するまで脆弱性が見過ごされることを保証するだけの決定だ。Wynnが指摘したように、この方針は「彼らを完全に身動きできなくし、全米のハッカーが『アイオワとは仕事をしたくない』と言う」状況を生んだ。
なぜこれはすべてのセキュリティ専門家にとって重要なのか
私はこの業界で15年以上働き、400件以上のセキュリティ評価を完了してきた。許可された建物に入り、契約された業務を行い、自分を守るはずの書類を携行してきた。物理ペンテスターなら誰もが知っている感覚がある――警報が鳴った瞬間や警備員が角を曲がってきた瞬間、許可書に手を伸ばし、相手がペネトレーションテストとは何か、なぜ重要なのかを理解していることを願う、あの瞬間だ。
Coalfireの事件は、いくつもの構造的な失敗を露呈させたが、その多くは今なおほとんど解決されていない。
許可のギャップ。 アイオワ州司法部門はCoalfireを雇ったが、地元の法執行機関に通知しなかった。これはコミュニケーションの破綻であって、犯罪行為ではない。それでも、結果としての被害は、調整に失敗した当局者ではなく、テスターにすべて降りかかった。
管轄の混乱。 郡所有の建物、州が許可したテスト。誰が何を許可する権限を持つのか、誰も整理しなかった。これは政府調達ではよくある状況であり、こうした衝突を解決するための標準化された手順が業界には依然として欠けている。
物理ペンテスト契約の業界標準がない。 この事件以降、複数の分析者が指摘しているとおり、物理レッドチーム案件のスコープ設定、許可、通知の方法に関する普遍的な標準は存在しない。各社がそれぞれ異なるやり方で行い、各クライアントがそれぞれ異なる通知対応をする。そして何かが起きたとき、常にリスクを負うのはテスターだ。
法執行機関のセキュリティテストに関するリテラシー不足。 現場の保安官代理が許可を確認し、テスターを帰す準備ができていたのは、システムが機能していた例だ。保安官がそれを覆して逮捕を命じたのは、自尊心が手順に勝った例だ。法執行機関が、許可されたセキュリティテストがどのようなものかについて訓練を受けない限り、同様の事件は続く。
法的決着より長く続く評判被害。 告発は2020年に棄却された。民事事件が和解したのは2026年だ。つまり約7年間、DeMercurioとWynnは重罪での逮捕記録を抱え、マグショットがオンラインで拡散され続け、仕事をしただけで職業的な烙印を押されていた。和解はGoogle検索結果を消してはくれない。
業界への教訓
Coalfireの事件は、多くの企業が物理セキュリティテストに取り組む方法を変えたが、標準は依然として一貫していない。物理評価を実施するペンテスター、あるいはそれを発注するCISOにとって、重要な示唆がある。
多層的な通知は譲れない。 発注主体からの許可は必要だが十分ではない。対象施設に管轄権を持つすべての法執行機関、警備チーム、管理当局に対し、書面で通知し、受領確認を文書化しなければならない。
管轄の状況を把握する。 とりわけ政府案件では、所有と権限が一致しないことが多い。州機関がテストを発注しても、建物は郡が所有し、警報には市警が出動する。テスト初日の夜を迎える前に、すべての関係者を洗い出すこと。
すべてを記録する。 出動した保安官代理のボディカメラ映像は、DeMercurioとWynnの主張を裏づける最も強力な証拠の一つだった。ペンテスターも、自身の記録――タイムスタンプ付き写真、記録された通信、GPSログ――を、運用記録であると同時に法的保険として考えるべきだ。
エスカレーション手順を契約に明記する。 地元の法執行機関が許可を認めない場合はどうするのか。誰に電話するのか。時間外の緊急連絡先は誰か。これは付け足しではない――短い遅延で済むか、重罪逮捕になるかの分かれ目だ。
政治的環境を評価する。 この事件は当初から政治的な側面を持っていた――縄張りを守ろうとする保安官、判断を覆い隠そうとする州当局者、責任を押し付ける相手を探す議員たち。政治力学が案件を複雑化し得る環境でテストするなら、その点をリスク評価に織り込むべきだ。
より大きな視点
これは、アイオワ州の2人のペンテスターだけの話ではない。組織や政府が必要とする業務を、刑事訴追の恐怖なしに実施できるのかという、業界全体の問題だ。
セキュリティテストが存在するのは、現実の敵対者が名乗り出ないからだ。彼らは予約を取らない。営業時間中に鍵を試したりもしない。快適な境界の中でしか動かない物理ペネトレーションテストは、テストではない――ただの演劇だ。
60万ドルの和解は、DeMercurioとWynnが当初から言ってきたこと――彼らの仕事は許可され、プロフェッショナルで、公益に資するものだった――を裏づける。しかし、法的先例にはならない。裁判前に和解したため、将来の同様の状況を導く裁判所判断が残らなかった。Leonard保安官は個人的な責任を問われなかった。そして現職の郡検事は、同じことを繰り返すと明言している。
DeMercurioの言葉を借りればこうだ。「私たちに起きたことは、決して起きるべきではなかった。雇われた仕事をしただけで逮捕されたことで、人生はひっくり返り、何年もかけて築いた評判は傷ついた。」
Wynnはこう述べた。「この事件は誰も安全にしなかった。政府が現実の脆弱性を特定するのを助けることが、逮捕、起訴、公の恥辱につながり得るという冷え込むようなメッセージを、全米のセキュリティ専門家に送った。それは公共の安全を高めるのではなく、損なうものだ。」
2人とも正しい。そして、セキュリティテストの許可と法執行機関の理解の間にある溝が、標準化された手順、法的枠組み、義務的な訓練によって埋められない限り、この国のすべての物理ペンテスターは、理解のない保安官が一人いるだけで、仕事をしただけで一晩留置場に入れられる危険と隣り合わせだ。
DeMercurioとWynnは、セキュリティテストに関する政策改革を支援する提案をアイオワ州に申し出ている。アイオワ州がそれを受け入れるかどうかは、7年と60万ドルの「教訓」から州が何かを学んだのかを如実に示すだろう。
私たち残りの者は、注視し――備えるべきだ。
