ハクソク

世界を動かす技術を、日本語で。

郡が裁判所のセキュリティ評価のために逮捕したペンテスターに60万ドルを支払う

116日前原文(arstechnica.com)

概要

2019年、Iowa州の裁判所で認可されたセキュリティ評価を実施した2人の専門家が不当逮捕と名誉毀損で訴訟を起こし、60万ドルで和解 事件の経緯と影響、セキュリティ業界への警鐘 Coalfire Labsの従業員であるGary DeMercurio氏とJustin Wynn氏が関与 「レッドチーム」演習の合法性と逮捕後の社会的影響 事件が業界にもたらした教訓と今後の課題

アイオワ州裁判所でのペネトレーションテスト事件と和解

  • 2019年、 Coalfire Labs 所属の Gary DeMercurio 氏と Justin Wynn 氏によるセキュリティ評価事件
  • Iowa Judicial Branchから 正式な書面による許可 を受け、「レッドチーム」演習を実施
  • 物理的攻撃 (ピッキング等)もルールで明示的に許可
  • Dallas County Courthouseで 深夜に侵入テスト を実施
  • 側面のドアが無施錠であることを発見し、ドアを閉じて施錠後、 簡易ツールでロック解除
  • 警報が作動し、 警察により逮捕
  • 重罪の第3級住居侵入罪 で起訴、20時間拘束されて各自5万ドルの保釈金で釈放
  • 起訴内容は後に 軽犯罪の不法侵入 へ減刑
  • Dallas Countyの Chad Leonard保安官 は公然と違法行為を主張し続ける
  • 不当逮捕・名誉毀損で訴訟を起こし、 60万ドルの和解金 で決着

業界・社会への影響と教訓

  • 正当な契約と業務にもかかわらず、 セキュリティ専門家が逮捕・起訴 されるリスクの顕在化
  • 評判へのダメージ はキャリアに致命的な影響を及ぼす可能性
  • ペネトレーションテスト実施者やクライアント企業に対する 萎縮効果
  • Wynn氏の声明:「この事件は誰の安全も高めなかった。政府の脆弱性特定支援が 逮捕や社会的信用失墜 に繋がる危険性を全国に示した」
  • 公共の安全を損なう事例 として業界全体に警鐘

今後の課題

  • 法執行機関とセキュリティ業界の連携不足 の解消
  • 正式な許可・契約があっても 現場での誤認逮捕リスク
  • レッドチーム演習時のガイドライン整備 と、関係者間での明確な合意形成
  • 顧客・実施者双方の リスク認識と対策 強化
  • 類似事件防止のための 教育・啓発活動 推進

Hackerたちの意見

これが最初に起こったときに読んだのを覚えてる。少なくとも少しは良い結果になってよかったね。参考までに、逮捕直後のHNスレッドはこちらだよ: https://news.ycombinator.com/item?id=21000273

60万ドルで6年間の法廷闘争と重罪の告発?それはちょっと無理だね。

ダークネットダイアリーズがその二人のペンテスターにインタビューしたよ: https://darknetdiaries.com/episode/59/

それで…郡の保安官が現れて、自分が大ボスにならなきゃいけないと思ったのか、みんなにとって悪化させちゃった。典型的な感じだね。

その通り。脆い男が自分の権威を示そうとしてたんだね。

私が間違ってるかもしれないけど、これらの人たちは施設に現れて、典型的な「侵入」みたいなことをしたみたいだね。現場の(怯えた)スタッフが911に電話して、警察が来て彼らを逮捕したんだ。犯人たちはこれをやるために雇われたって言ってたけど(実際そうなんだけど)、シャリフのオフィスやスタッフには誰も知らせてなかったんだ。だから、彼らの評判や犯罪歴には可哀想だけど…何? 現場のスタッフも状況がわからなかったし、シャリフたちも何が起こってるか知らなかった。郡は基本的に「この政府の建物に侵入しようとしてみてほしい。スタッフや地元の警察には知らせないから、何が見つかったか教えてね」って言ったんだ。

それが最初の印象だったけど、2019年の元のストーリーを読むと、もっと一方的ではない印象を受けたよ: https://arstechnica.com/information-technology/2019/11/how-a... 他のコメントにはもっと詳しいことを書いているけど、要約すると、ペンテスターたちは建物に侵入する前に飲酒していたし、自分たちの契約で禁じられていると解釈される行動をしていた。そして大きなポイントは、承認書に載っている人が電話で呼ばれたときに、建物に入ることを許可されていないと否定したこと。これが大問題なんだ。自分たちの承認連絡先が警察に「建物にいることを許可されていない」と言い始めたら、かなりまずいことになるよ。

将来、そんな立場にいる人は、こういうことを始める前に、必ず地元の警察に書面と電話で、できれば直接も通知しておくべきだよ。事前に脱出用の書類を用意しておいてね。警察が承認しなかったら、やらない方がいい。事前に警察からの異議なしの手紙をもらっておくといいよ。弁護士にも活動内容とすべての書類を知らせておくべき。リスクを冒さない方がいいよ。優しい世界じゃないからね。未知の未知を扱うことが重要なんだ。

彼らは州裁判所からの書面による許可と、州裁判所の職員からの口頭確認を得ていたんだ。でも、司法と保安官の間で対立が起こるとは思ってなかったみたい。

それって、いろんな意味でテストの意味を無くすんじゃない? 何ができるか、そして現在のセキュリティ対策からの反応を見ようとしてるのに、警察が来るのはその重要な部分だと思うんだ。

警察が承認しないなら、やらない方がいい。事前に警察からの異議なしの書類をもらった方がいいよ。記事によると、彼らは州裁判所の職員からの許可書を持っていて、その書類が裁判所の職員に確認された後すぐに解放されたみたい。少なくとも私が見る限り、関与した警察官たちは正しいことをしていたと思う。彼らは容疑者を拘束して、ちゃんと話を聞いてその話を確認してから解放したんだ。問題だったのは、現場に来て気に入らなかったシャリフで、さらに彼らを困らせたんだよ。彼らは建物の責任者から異議なしの書類を持っていて、警察官たちも賛成してた。結局、一人の人間がそれを別のことにしようとしただけなんだ。

警察の仕事はそんなもんじゃないよ。侵入の通報があったら、必ず対応して状況を確認するんだ。数年前に、退役したSWATのオフィサーから射撃場付きの物件を買ったんだけど、彼は「何かしてるときは必ず保安官事務所に連絡する」って言ってた。私はプライベートな射撃場を持ったこともないし、この郡の出身でもないから、保安官事務所に電話して確認したんだ。そしたら、そんなポリシーやプログラムは存在しないし、オフィサーは自分の内部ポリシーや指揮系統を持っているだけで、私には関係ないって言われた。要するに、射撃の通報があれば必ず対応するし、私がバカなことや危険なこと、明らかに違法なことをしていなければ、心配する必要はないってことだ。他の種類の通報でも同じだよ。

州が郡が適切に仕事をしているか確認したいなら、事前に知らせるのは無効な評価につながるかもしれない。保安官の反応は、彼が見つけられたくない欠陥があるんじゃないかって疑念を抱かせるね。

これ、2019年に起こったんだよね。正義の車輪はすごく遅く回る。

正義が遅れるのは、正義が否定されることだよね。

裕福な人たちを除いては、彼らは調整できるからね。

確かに、民事訴訟の進行はそうだね。

こんなに時間がかかるのは、正義とは言えないよね。大人の人生の10%を法的な争いに費やすなんて、1年以内に解決すべきことに対しては馬鹿げた代償だと思う。

和解しちゃったのがちょっと嫌だな。原告が進めたくない気持ちはよくわかるけど、保安官がやったことに対して実際に罰を受けてほしかった。こういう権力の乱用は解雇されるべきだよ。

選挙で選ばれた公職者。じゃあ、投票箱での罰ってこと?

シャリフのチャド・レナード(チャドの話題が出るね...)は2022年に引退したよ。

各自少なくとも600万ドルはもらうべきで、権力を乱用した人たち、特に「ただ命令に従っただけ」の人たちには、15年以上の最高警備の刑務所に入るべきだと思う。

起訴が取り下げられて良かったけど、正直言うと元の報道を見ると、この記事が伝えているよりも話はもっと複雑だったんだよね。2019年の記事: https://arstechnica.com/information-technology/2019/11/how-a... もしかしたら、ナラティブに疑問を持ったことでダウンボートされるかもしれないけど、私が気になったいくつかのニュアンスを挙げるね。

  • 警察が承認書に載っている誰かに連絡したとき、その人は物理的な侵入を許可されていないと否定したんだ。別の連絡先は電話に出なかった。侵入を許可したはずの人たちが、実際にはその承認を否定している場合、警察はどうすればいいの?
  • 契約書には「ドアを強制的に開けることはできない」と曖昧な表現があった。二人は警察に対して、道具を使って鍵のかかったドアを開けたと言っていた。この表現は、何が許可されていて何が許可されていないのか、もっと具体的に書かれるべきだったと思う。(追記:これがかなりの論争を引き起こしてる。私の州での「強制侵入」の法的定義は、物件に物理的な損害を与えることを要求していなくて、障害物を回避することだけが必要なんだ。この州の状況はわからないけど、「ドアを強制的に開ける」という表現は、必ずしもどこでも破壊的な力を使うことを意味しないよ)
  • 契約書には「アラームの改ざんは許可されていない」と書いてあったけど、警察は彼らがアラームを操作しようとしていた証拠を持っていたらしい。彼らはそれを否定している。
  • その二人は侵入する前にアルコールを飲んでいた。呼気検査を受けたときは0.05だったから、侵入を始めたときはもっと高かったはず。警察が反応することが確実なプロの仕事をする前に飲酒するのは、ひどいアイデアだよ。
  • アラームが鳴って警察が来たとき、彼らはすぐに身分を明かさず、行動を終わらせなかった。警察から隠れて、「権限の反応をテストしていた」と主張していたけど、これは明らかに契約の範囲を超えているよね。だから、起訴が過剰だったのは同意するし、保安官がいろいろ間違っていたのも認めるけど、詳細を読んだ後では、これは本当に明確なケースではなかった。ペンテスターたちは、隠れて警察の反応をテストすることが契約の範囲内だと思っていたなら、あまり「本に従って」行動していなかったし、数杯のアルコールを飲んでこの仕事をするのは奇妙な選択だよ。

最もプロフェッショナルな選択とは言わないけど、もし自分が仕事の一環で裁判所に侵入しようとしているなら、緊張を和らげるためにビールを一杯か二杯飲みたい気持ちはわかる。力についてこの記事にはこう書いてある:

「この演習の交戦規則は、重大な損害を与えない限り、司法機関の建物に対する「物理的攻撃」、つまり「ロックピッキング」を明示的に許可していた。」 その後、彼らは施錠されていないドアから入ったと書かれていて、どうやらドアのラッチとドア枠の間に何かを挟んで開けていたみたい。理不尽ではないよね。

警察は60万ドルで和解したんだよ、却下されたわけじゃない。

数年前にこういった物理的なペンテストを行ったことがある。裁判所のセキュリティをテストする場合、私たちはそれぞれに郡の事務長の個人携帯番号が書かれたカードを持っていて、何をすることが許可されているかを正確に説明した作業声明と署名があった。危険なことをする場合には、バックアップの連絡先番号も用意していた。緊急連絡先が電話に出ないなんて考えられなかったよ。彼らは常に私たちがどこにいて何をしているかを把握していた。物件を損傷することは決して許可されていなかったし、テストの前にアルコールを飲むなんてことは絶対にありえなかった。保険のリスクだけでも狂っているし、誰かがあなたの息にアルコールの匂いを感じたら reputational damage も大変だよ。法執行機関から隠れるなんて?それについてもっと知りたいな。警官が銃を持って現れたら、絶対に隠れちゃダメだよ。もし巡回中の警備員で、彼らが通り過ぎるのを待っているなら…それはありだけど。とはいえ、危険なこともあった。セキュリティや法執行機関の中には、「テストされている」と個人的に受け取って、反応が良くない人もいるからね。私たちはいつも、元法執行官や軍人を一緒に連れて行くようにしていた。彼らは私たちハッカーやオタクよりも虐待の標的になりにくいから。

それは全部本当だけど、結局は15分で解決するべきことが数時間かかるべきだったってことだね。裁判所と郡の間でのいざこざになって、彼らが挟まれちゃった。弁護士として、あの夜に郡のための弁護士が「これがコストになるよ」って言わなかったなんて信じられない。

ペンテスターにも少しは責任があると思うけど、警察が真実を誠実に伝えることで有名だとは思えない。警察の話が誇張されている可能性もあるんじゃないかって、あんまり確信が持てないな。

まあ、バグバウンティとしては悪くないんじゃない?

公共サービス部門:私たちのために働いてくれる従業員や契約者が見つからない! でも公共サービス部門はこれだよ。あ、保安官は選挙で選ばれてるんだろ?