米国連邦政府の請負業者内で発生したハッキング事件は、情報セキュリティーや人事見直しのマイナス例となっている。最近、34歳の双子の兄弟ソハイブ・アクテルとムニーブ・アクテルは、解雇後に連邦政府のデータベースを悪意を持って削除し、関連するハッキング活動を行ったとして、連邦陪審によって有罪判決を受けるか、事前に有罪を認められた。
米国司法省が発表した情報によると、陪審は最近、ソハイブ・アクテル氏をコンピューター詐欺とパスワード転売の共謀罪で有罪と認定したが、弟のムニーブ氏は以前、司法取引を通じて関連行為への参加を認めていた。この事件は、2人が45以上の政府機関にサービスを提供し、情報公開法(FOIA)関連データや連邦捜査ファイルなどの機密情報を保管している連邦政府請負業者オペクサス社によって解雇された後に発生した。
この訴訟は、オペクサスが2人が2015年に遡るサイバー犯罪で連邦政府から有罪判決を受けていることを同社が発見した後、昨年2月にビデオ会議を通じて2人に解雇を通告したことを示しているが、この重要な背景は最初の採用時に十分に認識されていなかった。同社は2人に対して「広範な身元調査」を行ったと主張したが、過去のハッキング記録を掘り下げることはなかったようで、この不作為がその後の深刻な内部攻撃への道を開いた。
ピンクの紙を渡されてから数分以内に、兄弟は企業や政府のデータを標的にし始めました。捜査の結果、ムニーブ氏がわずか数時間でFOIA要請データや連邦捜査関連文書を含む約96のデータベースを削除したことが明らかになった。同時に、他のユーザー アカウントもロックし、システムへの通常のアクセスを妨げました。
さらに恥ずかしいのは、Opexus が終了プロセス中に Sohaib のシステムへのアクセスを時間内に遮断しただけで、Muneeb のアカウントに対して同じことを行うのを「忘れていた」ことです。解雇の通知を受けてから 6 分以内に、ムニーブ氏は他のユーザーのブロックとデータベースの削除を開始し、その後、雇用機会均等委員会 (EEOC) からさらに 1,805 件の文書と 450 人以上の連邦税情報を盗みました。
捜査員が事件を再現したところ、2人の兄弟の「技術レベル」がプロのハッカーほど洗練されていないことが判明した。データベースを削除した後、自分の痕跡を隠蔽するために、ムニーブ氏は操作の痕跡を消去するために、実際に AI チャットボットにシステム ログを消去する方法を尋ねました。事件ファイルでは両者間の具体的なコミュニケーションツールは明らかにされていなかったが、最終的に法執行機関は両者の会話のテキスト記録を入手し、これが重要な証拠の一つとなった。
実際、アクテル兄弟が連邦政府のサイバー犯罪事件に巻き込まれたのはこれが初めてではない。 2015年にはすでに以前の訴訟で、2人は複数のWebサイトにハッキングし、クレジットカード情報を盗み、ダークウェブ上で個人データを販売しようとしたことを認めた。当時、ソハイブ氏は米国国務省在職中に兄らと共謀して同僚の個人情報を盗み、政府システムを長期にわたって監視するためのハードウェア装置を秘密裏に設置した疑いも持たれていた。
オペクサスは事件後、採用時に身元調査を実施したが、同兄弟の過去の連邦サイバー犯罪記録を特定するには「明らかに十分に徹底していなかった」と認めた。このミスは、解雇時にすべてのアカウント権限を完全に取り消すことができなかったことと相まって、数時間以内に政府の機密データの大規模な削除と盗難に直接つながりました。
司法手続きに関しては、ムニーブ氏は兄より先に司法取引に署名したが、最近、獄中にある手書きの手紙で裁判所に嘆願書の撤回を申請し始めた。同氏は書簡の中で、弁護人は「無能」だったと主張し、自らを弁護するために出廷したいとの希望を表明した。訴訟のその後の方向性については、裁判所によるさらなる判決が待たれます。
この事件は、政府データ、捜査ファイル、国民のプライバシーに関わる重要なシステムにおける人事審査やアカウント管理に誤りがあると、すぐに重大なサイバーセキュリティインシデントに発展する可能性があることを浮き彫りにしました。請負業者やサードパーティのサービスに依存している政府機関にとって、採用、身元調査、権限管理、退職手続きにおいて、より厳格かつ体系的なセキュリティメカニズムをどのように確立するかが、避けられない現実的な問題となっています。