世界を動かす技術を、日本語で。

郡が裁判所のセキュリティ評価のために逮捕したペンテスターに60万ドルを支払う

2026年1月30日原文(arstechnica.com)

概要

2019年、Iowa州の裁判所で認可されたセキュリティ評価を実施した2人の専門家が不当逮捕と名誉毀損で訴訟を起こし、60万ドルで和解 事件の経緯と影響、セキュリティ業界への警鐘 Coalfire Labsの従業員であるGary DeMercurio氏とJustin Wynn氏が関与 「レッドチーム」演習の合法性と逮捕後の社会的影響 事件が業界にもたらした教訓と今後の課題

アイオワ州裁判所でのペネトレーションテスト事件と和解

  • 2019年、 Coalfire Labs 所属の Gary DeMercurio 氏と Justin Wynn 氏によるセキュリティ評価事件
  • Iowa Judicial Branchから 正式な書面による許可 を受け、「レッドチーム」演習を実施
  • 物理的攻撃 (ピッキング等)もルールで明示的に許可
  • Dallas County Courthouseで 深夜に侵入テスト を実施
  • 側面のドアが無施錠であることを発見し、ドアを閉じて施錠後、 簡易ツールでロック解除
  • 警報が作動し、 警察により逮捕
  • 重罪の第3級住居侵入罪 で起訴、20時間拘束されて各自5万ドルの保釈金で釈放
  • 起訴内容は後に 軽犯罪の不法侵入 へ減刑
  • Dallas Countyの Chad Leonard保安官 は公然と違法行為を主張し続ける
  • 不当逮捕・名誉毀損で訴訟を起こし、 60万ドルの和解金 で決着

業界・社会への影響と教訓

  • 正当な契約と業務にもかかわらず、 セキュリティ専門家が逮捕・起訴 されるリスクの顕在化
  • 評判へのダメージ はキャリアに致命的な影響を及ぼす可能性
  • ペネトレーションテスト実施者やクライアント企業に対する 萎縮効果
  • Wynn氏の声明:「この事件は誰の安全も高めなかった。政府の脆弱性特定支援が 逮捕や社会的信用失墜 に繋がる危険性を全国に示した」
  • 公共の安全を損なう事例 として業界全体に警鐘

今後の課題

  • 法執行機関とセキュリティ業界の連携不足 の解消
  • 正式な許可・契約があっても 現場での誤認逮捕リスク
  • レッドチーム演習時のガイドライン整備 と、関係者間での明確な合意形成
  • 顧客・実施者双方の リスク認識と対策 強化
  • 類似事件防止のための 教育・啓発活動 推進

Hackerたちの意見

これが最初に起こったときに読んだのを覚えてる。少なくとも少しは良い結果になってよかったね。参考までに、逮捕直後のHNスレッドはこちらだよ: https://news.ycombinator.com/item?id=21000273

60万ドルで6年間の法廷闘争と重罪の告発?それはちょっと無理だね。

ダークネットダイアリーズがその二人のペンテスターにインタビューしたよ: https://darknetdiaries.com/episode/59/

それで…郡の保安官が現れて、自分が大ボスにならなきゃいけないと思ったのか、みんなにとって悪化させちゃった。典型的な感じだね。

その通り。脆い男が自分の権威を示そうとしてたんだね。

私が間違ってるかもしれないけど、これらの人たちは施設に現れて、典型的な「侵入」みたいなことをしたみたいだね。現場の(怯えた)スタッフが911に電話して、警察が来て彼らを逮捕したんだ。犯人たちはこれをやるために雇われたって言ってたけど(実際そうなんだけど)、シャリフのオフィスやスタッフには誰も知らせてなかったんだ。だから、彼らの評判や犯罪歴には可哀想だけど…何? 現場のスタッフも状況がわからなかったし、シャリフたちも何が起こってるか知らなかった。郡は基本的に「この政府の建物に侵入しようとしてみてほしい。スタッフや地元の警察には知らせないから、何が見つかったか教えてね」って言ったんだ。

それが最初の印象だったけど、2019年の元のストーリーを読むと、もっと一方的ではない印象を受けたよ: https://arstechnica.com/information-technology/2019/11/how-a... 他のコメントにはもっと詳しいことを書いているけど、要約すると、ペンテスターたちは建物に侵入する前に飲酒していたし、自分たちの契約で禁じられていると解釈される行動をしていた。そして大きなポイントは、承認書に載っている人が電話で呼ばれたときに、建物に入ることを許可されていないと否定したこと。これが大問題なんだ。自分たちの承認連絡先が警察に「建物にいることを許可されていない」と言い始めたら、かなりまずいことになるよ。

将来、そんな立場にいる人は、こういうことを始める前に、必ず地元の警察に書面と電話で、できれば直接も通知しておくべきだよ。事前に脱出用の書類を用意しておいてね。警察が承認しなかったら、やらない方がいい。事前に警察からの異議なしの手紙をもらっておくといいよ。弁護士にも活動内容とすべての書類を知らせておくべき。リスクを冒さない方がいいよ。優しい世界じゃないからね。未知の未知を扱うことが重要なんだ。

彼らは州裁判所からの書面による許可と、州裁判所の職員からの口頭確認を得ていたんだ。でも、司法と保安官の間で対立が起こるとは思ってなかったみたい。

それって、いろんな意味でテストの意味を無くすんじゃない? 何ができるか、そして現在のセキュリティ対策からの反応を見ようとしてるのに、警察が来るのはその重要な部分だと思うんだ。

警察が承認しないなら、やらない方がいい。事前に警察からの異議なしの書類をもらった方がいいよ。記事によると、彼らは州裁判所の職員からの許可書を持っていて、その書類が裁判所の職員に確認された後すぐに解放されたみたい。少なくとも私が見る限り、関与した警察官たちは正しいことをしていたと思う。彼らは容疑者を拘束して、ちゃんと話を聞いてその話を確認してから解放したんだ。問題だったのは、現場に来て気に入らなかったシャリフで、さらに彼らを困らせたんだよ。彼らは建物の責任者から異議なしの書類を持っていて、警察官たちも賛成してた。結局、一人の人間がそれを別のことにしようとしただけなんだ。

警察の仕事はそんなもんじゃないよ。侵入の通報があったら、必ず対応して状況を確認するんだ。数年前に、退役したSWATのオフィサーから射撃場付きの物件を買ったんだけど、彼は「何かしてるときは必ず保安官事務所に連絡する」って言ってた。私はプライベートな射撃場を持ったこともないし、この郡の出身でもないから、保安官事務所に電話して確認したんだ。そしたら、そんなポリシーやプログラムは存在しないし、オフィサーは自分の内部ポリシーや指揮系統を持っているだけで、私には関係ないって言われた。要するに、射撃の通報があれば必ず対応するし、私がバカなことや危険なこと、明らかに違法なことをしていなければ、心配する必要はないってことだ。他の種類の通報でも同じだよ。

Hacker Newsで議論の続きを見る