カリフォルニア州連邦裁判所は、顧客のマイクロソフトユーザーアカウント1,200件を削除したとして、「復讐心に燃える」技術者に懲役2年の刑を言い渡した。
名前を明かしていないITアウトソーシング企業のデリー拠点の従業員であるディーパンシュ・カー氏は、カリフォルニア州の沿岸都市カールスバッドにある企業(これも名前を明かしていない)のOffice 365環境の移行を支援する任務を負っていた。
裁判所の文書によると、彼は2017年に「移住を支援するため」にカリフォルニアに飛行機で移動した。カー氏の仕事ぶりに不満を抱いたため、2018年1月までにプロジェクトから外され、数ヶ月後には雇用主から解雇された。
司法省は、2018年6月にインドに帰国してから2か月後、この32歳の男は元依頼人のシステムに侵入し、見つけられる限りのOffice 365アカウントを削除することで「復讐」を決意し、合計1,500件のうち1,200件(80%)を消去したと発表した。
カリフォルニア州のサーフィンの街、カールスバッドシティの街路での秋の日
司法省は、マリリン・L・ハフ地方裁判所判事の判決に注目し、カー氏は「同社に対し重大かつ巧妙な攻撃を仕掛けた。その攻撃は計画的で、明らかに復讐を意図したものだった」と述べた。
短期的には、会社の業務が停止し、従業員は電子メール、連絡先リスト、予定表、ドキュメント、Microsoft Teams にアクセスできなくなります。
カー氏の行動は、3ヶ月間続くITトラブルにもつながり、従業員は連絡先リストの完全な再構築、以前は利用できた共有フォルダへのアクセス、会議の招待やキャンセルの受信ができなくなった。この事件について、苦境に立たされた同社のIT担当副社長は、「ITプロフェッショナルとして30年以上働いてきましたが、これほど困難で厳しい職場環境に身を置いたことはありません」と述べた。
このITコンサルタントは、令状の存在を知らずに米国に入国し、長期にわたる可能性のある身柄引き渡し手続きを回避したため、2020年初頭に逮捕された。彼は昨年10月に有罪を認めた[PDF]。
ITの愚か者が契約への報復攻撃で米軍のサーバーに「破壊的な」論理爆弾を仕掛けた
続きを読む
カー氏は2年間の固粥服役に加え、3年間の保護観察処分を受け、56万7084ドルの罰金の支払いを命じられた。この金額は、彼の元依頼人が汚職を清算するために支払った金額と同額だ。
「この妨害行為は当社にとって壊滅的なものでした」と、ランディ・グロスマン代理米国検事は声明で述べた。「幸いなことに、被告の復讐は長くは続かず、正義が実現しました。」
「カー容疑者が米国国外でこの有害な行為を犯したにもかかわらず、FBIは彼を特定し、逮捕し、起訴することができた」とFBIサンディエゴ支局の特別捜査官スザンヌ・ターナー氏は付け加えた。
この事例は、サイバー侵入事件への対応におけるFBIの献身、専門知識、そして幅広い活動範囲を示しています。企業の皆様には、サイバーセキュリティインシデント発生前にFBIや地元の法執行機関と関係を構築し、インシデント対応計画にFBIを組み込むことをお勧めします。®
