双子の兄弟、解雇から数分後に政府データベース96件を削除

 (arstechnica.com)
1 ポイント 投稿者 GN⁺ 10 시간 전 | 1件のコメント | WhatsAppで共有
  • Muneeb AkhterとSohaib Akhterは、解雇直後に残っていたアカウントのアクセス権を使って米国政府データベース96件を削除した疑いをかけられている
  • 2人は過去に通信詐欺・コンピュータ犯罪で有罪を認めた後、45の連邦顧客にサービスを販売するワシントンDCの企業に入社した
  • Muneebは会社ネットワークから取得したユーザー名・パスワード5,400件を集め、PythonスクリプトでDocuSign、航空会社、Marriottなどへのログインを試みた
  • 2025年2月18日、解雇から5分後にSohaibのVPNとWindowsアカウントは停止されたが、Muneebのアカウントは残っており、DROP DATABASE dhsproddbを実行できた
  • Muneebは有罪認定後に弁護の問題や一部罪状について無罪を主張し、Sohaibはコンピュータ詐欺共謀、パスワード売買、銃器所持の罪で有罪評決を受けた

解雇前にアカウントを遮断する必要がある理由

  • 米国では、解雇・レイオフ対象者のデジタル認証情報を通知前に無効化することが多い
  • 会社システムへのログイン失敗が雇用終了を最初に知る合図になることもあるが、システムアクセス権を持つ解雇社員がセキュリティリスクになり得るため、このような手順が定着している
  • Muneeb AkhterとSohaib Akhterの双子の兄弟の事件は、解雇直後の数分間だけ残っていたアクセス権がどのような被害につながるかを示している

Akhter兄弟の背景とアクセス権

  • Muneeb AkhterとSohaib Akhterは現在34歳で、2015年にVirginiaで通信詐欺とコンピュータ関連犯罪に関わる計画について有罪を認めた前歴がある
  • Muneebには懲役3年、Sohaibには懲役2年の判決が言い渡された
  • 出所後、Muneebは2023年にワシントンDC所在の企業に入社し、Sohaibは1年後に同じ会社へ加わった
  • この会社は45の連邦顧客にソフトウェアとサービスを販売していた
  • 米国政府によると、2025年2月1日、MuneebはSohaibに対し、EEOC Public Portalに苦情を提出した個人の平文パスワードを要求した
    • SohaibはEEOCデータベースでクエリを実行し、そのパスワードをMuneebに渡した
    • そのパスワードは後に、その個人のメールアカウントへの不正アクセスに使われた

認証情報の収集と自動化されたログイン試行

  • Muneebは会社ネットワークのデータから取得したユーザー名とパスワード5,400件を集めていた
  • 彼はこのログイン情報を一般のWebサイトで試すためのカスタムPythonスクリプトを作成した
  • marriott_checker.pyはMarriottホテルチェーンへのログインを試みるアプリケーションだった
  • MuneebはDocuSignや航空会社アカウントなどを含め、数百回のログインに成功した
  • 被害者アカウントに航空マイルがあれば、Muneebが自分の旅行を予約することもあった

解雇直後に起きたデータベース削除

  • 兄弟の雇用主は2月のどこかの時点で、2人の犯罪歴を知ったとみられる
  • 2025年2月18日、Virginiaで同居していた兄弟はMicrosoft Teams会議に一緒に呼び出され、その場で即時解雇された
  • 会議は業務終了時刻の午後4時50分に終わった
  • 5分後、Sohaibは元雇用主のネットワークにアクセスしようとしたが、VPNアクセス権とWindowsアカウントはすでに停止されていた
  • Muneebのアカウントは遮断対象から漏れており、彼はすぐに米国政府のデータベースへアクセスした
  • 午後4時56分、Muneebは他のユーザーがデータベースに接続または変更できないようにするコマンドを実行した後、データベース削除コマンドを実行した
  • 午後4時58分、彼はDROP DATABASE dhsproddbコマンドでDepartment of Homeland Securityのデータベースを削除した
  • 午後4時59分、彼はAIツールに「データベースを削除した後、SQLサーバーのシステムログをどう消すか」と質問した
  • その後、「Microsoft Windows Server 2012で全てのイベントログとアプリケーションログをどう消すか」とも尋ねた
  • 1時間の間にMuneebは、米国政府の情報が入った約96件のデータベースを削除した
  • 彼はEEOC所有のファイル1,805件をダウンロードしてUSBドライブに保存し、少なくとも450人分の連邦納税情報も持ち出した

兄弟間の会話と隠蔽の試み

  • データ削除が進む間も2人は会話を続けていたが、政府はこのやり取りがテキスト、インスタントメッセージ、対面のいずれだったかを明確にしていない
  • SohaibはMuneebの作業を見ながら「お前が彼らのデータベースのバックアップを片付けているのが見える」と言った
  • 削除対象が増えると、Sohaibは「よし、もっともらしい否認ができるなら」と言った
  • Muneebは「昨日のバックアップから復元できる」と言い、Sohaibも「そうだな、できるだろう」と答えた
  • Sohaibは「ファイルシステムも削除するか?」と提案し、Muneebは「賢い考え」と答えた
  • Sohaibは「キルスクリプトが必要だった。金をゆすり取る脅しみたいなのとか——」と言い、Muneebは「いや、そんなことはやるな、それは有罪の証拠だ」と答えた
  • データベースとイベントログを消去した後、兄弟は氏名非公表の共謀者の助けを借りて会社ノートPCのOSを再インストールした

捜索、起訴、裁判結果

  • 連邦捜査機関による実際の捜索は、解雇と削除から3週間が過ぎた後に行われた
  • 2025年3月12日、AlexandriaにあるSohaibの自宅で捜索令状が執行された
  • 捜査官は複数の技術機器を押収し、銃器7丁と.30口径弾薬370発も発見した
  • Sohaibは前科のため、このような銃器と弾薬を所持してはならなかった
  • 兄弟は捜査が進む間もさらに9カ月間は自由の身だったが、12月3日に逮捕され、複数の犯罪容疑で起訴された
  • 起訴状はCourtListener文書で確認できる
  • Muneebは2026年4月15日、有罪答弁合意に署名し、起訴状の主要な罪状を認めた
  • Sohaibは裁判まで進んだが敗訴した
  • 2026年5月7日、陪審はSohaibに対し、コンピュータ詐欺共謀、パスワード売買、禁制者による銃器所持の罪について有罪評決を下した
  • Sohaibの量刑言い渡しは9月に予定されている

Muneebの獄中書簡と有罪答弁への異議

  • Muneebは刑務所から手書きの申立書を提出し、自身の弁護人が有効ではなかったと主張した
  • その後の提出書類では、Muneebが署名した有罪答弁そのものに異議を唱えている
  • Muneebは4月27日に裁判官へ送った1段落の手紙で、「神が私の言葉を導いてくださいますように」と書いた
    • 彼は「政府が公判前申立ての期限中に証拠へ異議を唱える能力を制限しながら、迅速な署名を期待したその速度と、自分の有罪答弁に不快感を覚える」と記した
    • さらに「私は兄の無実を支持する」と付け加えたが、Sohaibは数日後に有罪評決を受けた
  • 5月5日に提出された別の短い手書きの手紙では、Muneebは第10訴因について無罪だと主張した
    • 理由として「DocuSignアカウントへのアクセスは何ら価値あるものを与えるものではなく、彼はそこから価値あるものを得てもいないし、得る意図もなかった」としている
    • この手紙は96件のデータベース削除については触れていない
  • 5月5日に提出された3通目の手紙で、Muneebは自ら弁護するpro seでの進行許可を求めた

雇用主Opexusと手続き上の失敗

  • 裁判資料では兄弟を雇った会社名は公開されていないが、報道ではOpexusと確認されている
  • Opexusは12月にCyberscoopへこの事件に関する立場を示した
  • Opexusは身元調査を行ったものの、「追加のデューデリジェンスが適用されるべきだった」と認めた
  • 同社は「解雇が適切な方法で処理されなかった」と認めた
  • 同社は「双子の採用責任者はもはやOpexusに在籍していない」と述べた
  • 採用、身元確認、解雇手続き、アカウント遮断がすべて連鎖し、全面的な失敗となった

関連記事

1件のコメント

 
GN⁺ 10 시간 전
Hacker Newsのコメント

  • Opexusが「双子を採用した責任者たちは、もはやOpexusには在籍していない」と述べたくだりは、Monty Pythonの「たった今解雇された人たちを解雇した責任者たちも解雇された」という古典的なセリフに近い
    冗談はさておき、こうした事件から多くの雇用主が最も極端で非人間的な教訓だけを学んでしまうのではと心配になる。たとえば解雇やレイオフを可能な限り突然行い、アクセス権を即座に切るとか、数十年前のマリファナ所持のような前科まで含めて犯罪歴があれば絶対にセカンドチャンスを与えない、といった具合だ
    もっとバランスの取れたアプローチのほうがよいと思う。機密性の高いシステムへの一方的なアクセス権は最近解雇された人だけでなく全般的に制限し、解雇時には特に機微な認証情報は即時に無効化すべきだが、一般ログインやメールアカウントまで全部消すべきではない。電信詐欺で有罪判決を受けた人をシステム管理者に採用してはいけないし、パスワードは頼むからハッシュ化してほしい

    • 解雇通知の会議中、本人がまだ知らされる前にアクセス権を切り、必要ならパスワードを変更するのは、少なくともここ20年間の標準手順だった
    • あれほどのアクセス権を持つ人に対して、「解雇を最大限突然に行い、アクセス権を即時に切る」ことをしないほうが無能だ。こうした職務では完全に標準であり、そうでなければならない
      私が働いた場所では、たいていのIT従業員に対して常にそうだった。HRとの面談中に誰かが机を片づけ、警備担当者が外まで付き添った
    • 今でもすでにそうしている
      アメリカではTeams会議の最中に裏でアクセス権を切られ、履歴書に空白や問題、小さな傷でもあれば、あるAIエージェントがゴミ箱に放り込む
    • 悪意あるエージェント型AIの時代に、このレベルのアクセス権は不注意だ。こうしたことがそもそも起きないよう防ぐ工学的コントロールがなかったなら、単純なフィッシングやサプライチェーン攻撃だけでも同じ結果、あるいはもっと悪い結果が簡単に起きていただろう
    • 従業員はいつだって最後に知る。これは標準的な手順だ

  • そもそも、こういう人たちがどうやって採用されたのか不思議だ。アメリカ人ですらないように見えるのに、どうして機密システムで働けたのか疑問だ
    午後4時58分に「DROP DATABASE dhsproddb」コマンドでDepartment of Homeland Securityのデータベースを削除し、4時59分にはAIツールに「データベース削除後にSQL Serverのシステムログをどう消すか?」と尋ねている。さらに後には「Microsoft Windows Server 2012のすべてのイベントログとアプリケーションログをどう消すか?」とも聞いていた
    1時間もしないうちにMuneebはアメリカ政府の情報を含むデータベース約96個を削除した

    • 2人はMaryland生まれで、かなり有能だったようだ。少なくとも勉強をごまかして切り抜けるのは得意だったし、本当に技術的にも有能だった可能性はある
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • DHSだろ。有能だったり最高の人材を採る組織として振る舞う必要はない。ネクタイと銃を持った大げさなチンパンジーに近い
    • 応募書類で重罪の前科を隠していて、何らかのありふれた理由で身元調査会社が見逃したか、あるいは請負業者があまりに無能で、そもそも確認しなかったのだと思う
    • 「アメリカ人ではなさそうだ」という結論をどうやって出したのか気になる。ただ名前を見ただけなのか?

  • 2025年3月12日、AlexandriaのSohaib宅で捜索令状が執行され、捜査官は複数の技術機器に加え、銃7丁と.30口径弾薬370発も発見した。以前の犯罪歴からして、Sohaibはこうしたものを所持していてはいけなかった
    頼むから、犯罪を犯している最中に別の犯罪まで犯さないでほしい

    • 「以前の犯罪歴からしてSohaibはこうしたものを所持していてはいけなかった」という程度ではなく、誰も個人の武器庫なんて持つべきではない
    • 裏口から飛び出したらちょうど州境があって、すべてを隠すために銃器を自宅に郵送する場面を少し期待してしまった
    • 間抜けな犯罪者が捕まる方向への強い選択バイアスがある
    • 犯罪は一度に一つだけにすべきだ

  • アメリカ政府は基本的なソフトウェア構築すらあまりに無能で、こういう事件をむしろ良いこととして見るしかない。以前の何千件もの侵入は、こんなに簡単には検知されなかっただろうと思う

  • 午後4時58分に「DROP DATABASE dhsproddb」コマンドでDepartment of Homeland Securityのデータベースを吹き飛ばした、というくだりがあまりに面白い。いがみ合う2人の兄弟が、Casey AffleckとScott Caanが演じたOceans映画の登場人物を思い出させる
    こんな連中が機密データにこれほど近づけたことに驚く

    • 午後4時59分にAIツールへ「データベース削除後にSQL Serverのシステムログをどう消すか?」と尋ね、さらに後で「Microsoft Windows Server 2012のすべてのイベントログとアプリケーションログをどう消すか?」と聞いていたのは、危険信号が多すぎて言葉もない
    • 「男ですか?」「はい、19。」「生きてますか?」「はい、18!」「Evel Knievel。」
      この2人には少しRosencrantz and Guildensternっぽさもある
    • 映画ではあの2人はいつも見どころだった。特に一方がメキシコの工場暴動で、もう一方と合流する場面が好きだった
    • 動画の人物は彼らだと思う: https://youtu.be/Rx19zOzQeis

  • どこから話せばいいのかわからないが、この2人の道化がDHSの運用データベースにアクセスできるセキュリティクリアランスを持っていたはずがない。そのレベルのクリアランスを持つ別の従業員の認証情報を盗んだと見るしかない
    しかも税務記録はDHSドメインには保存されない。細部を隠すために話が整えられているように見えるし、そういうことはあり得るが、背景説明は信じがたい

  • 約25年前、私が勤めていた会社でレイオフがあった。DBAが1人、ほかの人たちと一緒に解雇されたのだが、当時はアクセス権を即時回収せず、業務用コンピュータもその日の終わりまで使えた。大半は荷物をまとめて去った
    ところが解雇されたそのDBAは残って、自分が担当していたデータベースのバックアップ作業を最後まで終え、仕事が終わってから荷物をまとめて出て行った。実話だ

  • どうやって5,000件のパスワードにアクセスしたのかわからない。平文パスワードで送信または保存されていたのか? 記事の中で最も理解しがたい部分だ
    もう一つ不明なのは、雇用終了と同時にアカウントアクセスを切らないのに、どうやってSOC 2を通過できるのかという点だ

    • 記事だけを見ると、パスワードが実際に平文で保存されていたように聞こえる
      「2025年2月1日、Muneeb AkhterはSohaib Akhterに、Equal Employment Opportunity CommissionのPublic Portalに苦情を提出した個人の平文パスワードを求めた。このポータルはAkhter兄弟の雇用主が保守していた。Sohaib AkhterはEEOCデータベースにクエリを実行した後、そのパスワードをMuneeb Akhterに渡した。その後、そのパスワードは当該個人のメールアカウントへの不正アクセスに使用された。」
    • ポリシーと実際の運用は違うことがある。この会社と経営陣全体は、今後の調達で誰かのブラックリストに載るべきだ
    • SOC 2が何なのか、よく理解していないようだ
      第一に、SOC 2はウイルスのように広がるもので、自前の技術的利点によって採用されることはほとんどない。第二に、レベルがいくつもある。最初の段階は「私たちがどうやってセキュリティを行うかという計画を文書にした」という程度だ
      第二段階は、実装を始めるか追跡を始めるくらいかもしれない。重要なのは第一段階だ。会社のSOC 2部門が、SOC 2準拠のために馬鹿げたことをしなければならないと言うなら、その馬鹿げたことは社内の誰かが作ったもので、その人を解雇すべきだ。それでもその馬鹿げた計画には従わなければならない。手順だからだ
      この場合、「人をどう解雇するか」と「一つの大規模言語モデルが1セッションで運用データベース96個をDROPできないよう、どう防ぐか」への答えが計画に書かれていて、その計画が実装されていた可能性もある。そうであれば会社は依然としてSOC 2準拠であり、これが機能しているSOC 2手順に見えるようになっている姿なのかもしれない
    • オフボーディング方針次第だ。方針が72時間のようなものなら、方針違反ではないかもしれない
    • 平文でないなら、正確にはどう保存してほしいのか? もちろんその次に暗号化すべきではある。5,000件という数は多く、権限付与プロセスが壊れていたのは確かだが、それはパスワード保存方式とは別問題だ
      唯一の解決策は、適切なアクセス分離とバスチオンだけだ

  • 「解雇された従業員が会社システムへのアクセス権を持っていたこと」がセキュリティリスクなのではない。96個のデータベースを消せる従業員そのものが、在職中であってもセキュリティリスク
    もちろん、きちんと直すよりも、雇用終了時にすべてを断つという非人間的な道のほうが簡単ではある

  • 私たちの会社でも最近レイオフがあった。まだ若い会社なので最小権限の原則が適用されておらず、サポート対応のために人々が運用データベースへアクセスできていた。それでも誰も悪さはしなかった
    人々は何が起こるか分かっていたが、報復はなかった。第一に、法的な問題なく次の仕事へ進むなら、余計な負担を作らないほうがいいし、行動は追跡可能だ。第二に、なぜそんなことをする必要がある? なぜ同僚たちの成果物を壊さなければならないのか?