郡が裁判所のセキュリティ点検中に逮捕されたペネトレーションテスト専門家らに60万ドルを支払い

 (arstechnica.com)
1 ポイント 投稿者 GN⁺ 2026-01-31 | 1件のコメント | WhatsAppで共有
  • 2019年にアイオワ州の裁判所のセキュリティ点検中に逮捕されたセキュリティ専門家2人が、不当逮捕および名誉毀損の訴訟で60万ドルの和解金を受け取ることになった
  • 2人はCoalfire Labs所属のペネトレーションテスターで、アイオワ州司法当局の正式な許可を受けた「レッドチーム」の模擬侵入テストを実施していた
  • テストには物理攻撃(ピッキングなど)が含まれることが明記されていたが、地元の保安当局はこれを重罪の窃盗容疑として逮捕した
  • その後、容疑は軽犯罪の不法侵入に引き下げられたが、ダラス郡保安官はなおも違法行為だと主張し、公の場での非難を続けた
  • 今回の事件は、セキュリティ専門家が合法的なテスト中でも逮捕され得るという警告として受け止められ、物理的侵入テストの手順全般に重大な変化を引き起こした

事件の概要

  • 2019年、Gary DeMercurioJustin Wynnは、アイオワ州ダラス郡の裁判所で正式に承認されたセキュリティ点検を実施中に逮捕された
    • 2人はコロラド州に拠点を置くセキュリティ企業 Coalfire Labsに所属し、アイオワ州司法当局の書面による許可を受けて**「レッドチーム」模擬侵入**を進めていた
    • このテストは、実際の犯罪者やハッカーの侵入手法を模倣してセキュリティ防御体制の耐性を点検することを目的としていた
  • 規定上、物理攻撃(ピッキングなど)は許可されており、ただし重大な損傷を引き起こさない範囲に制限されていた

逮捕と法的対応

  • 2人は第3級重罪の窃盗容疑で逮捕され、20時間拘束された後、それぞれ5万ドルの保釈金で釈放された
  • その後、容疑は軽犯罪の不法侵入に引き下げられたが、ダラス郡保安官 Chad Leonardはなおも違法行為だと主張し、公然たる非難を続けた
  • 2人は不当逮捕および名誉毀損を理由に提訴し、事件から6年後に60万ドルの和解金を受け取ることになった

事件の影響

  • Wynnは「この事件は誰一人としてより安全にはしなかった」と述べ、政府の脆弱性点検を支援する行為が逮捕や起訴、名誉毀損につながり得るという萎縮効果を残したと語った
  • このような評判の毀損はセキュリティ専門家のキャリアに致命的となり得て、顧客企業側もそのリスクを認識するようになった
  • 事件後、物理的侵入テストの手順と承認体制重大な変化が生じた

当時の状況

  • 2019年9月11日未明、2人は裁判所の側面出入口が施錠されていない状態を見つけ、ドアを閉めて施錠した後、隙間を通して錠前を解除して侵入した
  • 侵入直後に警報が鳴って警察が出動し、逮捕につながった
  • 記事では、「この事件が制御不能なまでに広がった理由は保安官の対応にあったのであり、ほとんどの地域であればこのようなケースは不起訴になっていただろう」と説明されている

セキュリティ業界の反応

  • 事件はセキュリティおよび法執行関係者の間で大きな論争を引き起こした
  • 合法的な契約に基づくテストであっても刑事処罰のリスクにさらされ得ることを示し、セキュリティ業界全体の警戒感を高めた
  • 結果として、物理的ペネトレーションテストの承認手続きと法的保護の強化の必要性が浮き彫りになった

関連記事

1件のコメント

 
GN⁺ 2026-01-31
Hacker Newsのコメント

  • 警察が現場に来て男たちを拘束し、彼らが提示した正式な許可書を確認したうえで担当者に電話までして、すべて問題ないことを確認していた。
    ところが保安官が到着するやいなや逮捕を指示した。結局のところ、問題は状況を理解していなかったたった一人、それも権限者だった。

    • 保安官は知らなかったというより、単に権力争いをしたかっただけのように見える。
    • 記事によれば、保安官Leonardが到着すると雰囲気は一変した。彼は「この建物は自分の管轄だ」として、自分が承認していない侵入だと主張した。おそらく単なるメンツの問題か、自分が排除されたことへの不満だった可能性が高い。
    • 法的に見れば、書類の真正性を確認するまでは逮捕は安全側の措置だったのかもしれない。問題はその後の信じがたい対応だった。

  • この件が最初に起きたときに記事を読んだのを覚えている。それでも結果としてある程度前向きな結末になってよかった。
    ちなみに逮捕直後のHNスレッドはこちら

    • 6年間の法廷闘争と重罪容疑への対応で60万ドルを費やしたなんて、本当にひどい話だ。
    • Darknet Diariesでこの2人のペンテスターにインタビューしたエピソードもある。

  • 事件は2019年に起きたもので、正義の歯車は本当に遅く回る。

    • 民事訴訟の歯車はなおさら遅い。
    • 遅れた正義は正義ではない。
    • 大人になってからの時間の10%を法廷闘争に費やすなんて、まともではない。
    • この速度を左右できるのは富裕層だけだ。

  • 当時この件がどれほどばかげていたかを覚えている。保安官は解任されるべきだと思うが、ダラス郡の無能さに対して年10万ドルずつ補償を受けたのは、まだましな結末だ。

  • こういうのこそ私がHacker Newsで見たい話だ。

  • 起訴が取り下げられてよかったが、当初の報道を見ると、この件には記事で見えるよりずっと複雑な文脈があった。
    2019年のArs Technicaの記事によると、

    • 警察が許可書に記載された連絡先に電話した際、1人は「物理的侵入は承認していない」と否定し、もう1人は電話に出なかった。この状況で警察がどうすべきだったのかは疑問だ。
    • 契約書には「ドアを強制的に開けるな」という曖昧な文言があったが、2人は施錠されたドアを道具で開けたと述べている。文言はもっと具体的であるべきだった。
    • 「警報の操作禁止」という条項があったが、警察は彼らが警報を操作しようとしたと主張した。2人は否定している。
    • 侵入前に飲酒していた点も問題だ。血中アルコール濃度は0.05だったので、開始時点ではもっと高かったはずだ。
    • 警報が鳴って警察が来たとき、すぐに身分を明かさず隠れた点も契約範囲を逸脱していた。
      総じて保安官の過剰対応は間違っていたが、ペンテスター側も完全に教科書通りの行動だったわけではない。
    • 昔こうした物理侵入テストを実施したことがあるが、私たちは常に担当者の個人連絡先と署名済みの作業範囲記述書を携行していた。緊急連絡がつかない状況など想像もできない。
      飲酒や器物損壊は絶対に禁止で、警察が銃を持って現れたら絶対に隠れなかった。
      こうしたテストは危険なので、元軍人や元警察官出身者をチームに入れて安全を確保していた。
    • とはいえ、もし自分が裁判所への侵入テストをしなければならなかったら、正直なところ緊張をほぐすためにビールを1〜2杯飲んでいたかもしれない。
      記事によれば「物理攻撃」と「ピッキング」は許可されており、実際には施錠されたドアを非破壊方式で開けたという。
    • ペンテスターにもある程度の責任はあるが、警察の証言が常に正確または誠実とは限らないので、全面的には信じにくいと思う。
    • 結局こうした状況は数時間以内に解決されるべきだった。裁判所と郡の間の権力争いのせいで話が大きくなり、弁護士がいればその夜のうちに「これは高くつく」と警告していただろう。
    • 参考までに、警察は60万ドルで和解したのであって、単に却下されたわけではない。

  • 公共部門は「働く人が見つからない」と言いながら、こういうことをやる。しかもその保安官は公選職だった可能性が高い。

  • 今後こういう状況に置かれる人は、必ず書面・電話・対面で地元警察に事前通知すべきだ。
    警察の事前承認やno-objection letterを取っておくのが安全だ。弁護士にもすべての文書を共有すべきだ。世の中は親切ではない。

    • 彼らは州裁判所から書面による許可と口頭確認を得ていたが、司法と保安官の対立までは予想していなかった。
    • 実際、警察官たちは適切に対応していた。身元確認後すぐに解放し、問題を大きくしたのは後から現れたたった一人の保安官だった。
    • とはいえ現実には、警察は通報が入れば必ず出動して状況を確認する。以前射撃場を運営していたときにも似た経験があった。結局「通報があれば出動する」、それだけだった。
    • もちろん、事前に警察へ知らせればテストの真正性が損なわれる可能性もある。
    • 州政府が郡のセキュリティ水準を評価しようとしていたのなら、事前通知はむしろ検証無効を招きかねない。保安官の反応は、何かを隠そうとしているのではという疑念を呼ぶ。

  • 和解で終わったのは残念だ。原告たちがこれ以上争いたくなかったのは理解できるが、保安官の権力乱用は必ず処罰されるべきだった。

    • 保安官Chad Leonardは2022年に任期途中で引退した(記事リンク)。
    • 彼は選挙で選ばれる公務員だったのだから、最終的には有権者が投票で裁くべきだったということだ。