司法省は27歳のノースカロライナ州の男が、ワシントンD.C.を拠点とする国際テクノロジー企業のデータアナリスト契約社員として働いていた際に犯した一連の犯罪で、恐喝罪6件で有罪判決を受けたと木曜日に発表しました。
カメロン・ニコラス・カリー容疑者(別名「Loot」)は、従業員の給与などの機密情報を含む膨大な企業データを盗み、それを使用して雇用主を恐喝しました。法廷記録によると、カリーは2024年1月に被害企業から約250万ドルを獲得しました。
この内部からの攻撃は、従業員または第三者の採用企業により配置された契約社員(カリーの場合)が、会社所有のノートパソコンで機密データへのアクセスを許可されている場合、企業が受け入れる計り知れないリスクを浮き彫りにしています。当局は企業名を明かしていません。
カリーは2023年8月から12月の間、企業で働いている間に、企業ネットワークへのアクセスを利用して恐喝を目的として企業データを削除しました。企業での最後の勤務日直後、カリーは従業員らに脅迫メールを送付し、データを漏洩・破棄しないという条件で身代金を要求しました。
当局によると、カリーは6週間の期間に60通以上のメールを様々な従業員と幹部に送り、企業の給与データを暴露すると脅し、従業員全体で大きな賃金不平等が存在すると主張しました。これらのメールでは、カリーはデータ盗難恐喝攻撃を賃金透明性を実装しようとする取り組みとして表現しました。
「Lootと私たちのパートナーは、全員が適切な給与を受け取っていることを確認し、従業員に彼らが値する交渉力を提供しながら、保護行為に関する連邦政府の規制を遵守することを目指しています」とカリーは起訴状によると1通のメールの中で書きました。
カリーはメールに、企業従業員の個人識別情報をリストアップしたスプレッドシートのスクリーンショット画像を含む添付ファイルを含めていました。当局によると、彼はまた、従業員に給与差別に対処する方法について、調停、雇用機会均等委員会、またはクラスアクション訴訟を通じた指示を提供すると警告しました。
恐喝メールの中には、法務チームのある人物がボーナスを受け取っていないのに対し、ほとんどのハイレベルの職位にある従業員はボーナスを受け取ったという主張など、個人的な内容もありました。カリーはまた、サイバー攻撃の迅速な開示を要求する規則を引用して、証券取引委員会への侵害を報告すると脅しました。
上場企業は2023年12月14日にFBIに侵害を報告し、約1ヶ月後にカリーの身代金要求を支払いました。
複数の運用上のセキュリティ上の誤りが当局がカリーを迅速に特定し、起訴する事件を構築するのに役立ちました。彼は個人的で検証可能なデータを使用して新しいCoinbaseアカウントを設定し、カリーが身代金を受け取るために設定したアカウントにリンクされた2つのデビットカードは彼の母親と妹のものでした。
当局は身代金が支払われた数週間後に、ノースカロライナ州シャーロットのカリーのアパート、デジタルデバイス、および車両を捜索しました。彼は逮捕され、2024年1月下旬に保釈されました。
当局によると、カリーは企業との契約が更新されないことを知った後、恐喝計画を開始しました。彼は判刑で最大12年の懲役に直面しています。
下記で完全な起訴状を読むことができます。
翻訳元: https://cyberscoop.com/cameron-curry-insider-attack-washington-tech-company/
