ハクソク

世界を動かす技術を、日本語で。

双子の兄弟、解雇後数分で96の政府データベースを消去

1日前原文(arstechnica.com)

概要

このセクションは、SohaibとMuneeb兄弟によるデータ破壊とその後の捜査・逮捕の経緯をまとめます。 犯罪行為の詳細、証拠隠滅の試み、FBIの家宅捜索、そして裁判の結果を簡潔に解説します。 主な登場人物や日付、重要な出来事を強調します。 事件の流れを時系列で整理します。 法的な結末と今後の見通しも触れます。

SohaibとMuneeb兄弟によるデータ破壊事件の経緯

  • SohaibMuneeb 兄弟による会社データの破壊行為
    • 同僚の業務増加を示唆する会話
    • ファイルシステム削除証拠隠滅 の提案
  • 金銭目的の脅迫(blackmail)の可能性について議論
    • Muneeb が「それは有罪の証拠になる」と否定
    • 顧客への脅迫の可否で口論
  • データ破壊作業の進行
    • データベースイベントログ の完全消去
    • OS再インストール を共謀者と実施
  • Sohaibの予想通り FBIによる家宅捜索 が実施
    • 2025年3月12日、 Alexandriaの自宅 で家宅捜索
    • IT機器、銃器7丁、.30口径弾薬370発 を押収
    • Sohaibは前科により銃器所持禁止
  • 捜査継続中も9ヶ月間は自由の身
    • 2025年12月3日、両名が逮捕・起訴
  • Muneeb は2026年4月15日に 司法取引で罪状認める
  • Sohaib は裁判を選択し、2026年5月7日に有罪判決
    • コンピュータ詐欺共謀、パスワード取引、禁止者による銃器所持 で有罪
    • 2026年9月に量刑言い渡し予定

Hackerたちの意見

レイオフのことを知る前に、どこでも資格を剥奪されても全然構わないよ。どうやって知るかは気にしないから、お願いだからオフィスには来させないでほしい。

だから、FBI長官のカシュ・パテルがある日ログインできなくてパニックになった理由がわかるよ。誰かをクビにする前に資格を剥奪するのは、セキュリティ的に考えても理にかなってるね。

お願いだからオフィスには来させないでほしい。でも、デスクから物をどうやって持ち帰るの? 以前、いいヘッドフォンをこの方法でなくしたことがあるんだ。

午後4時58分、彼は「DROP DATABASE dhsproddb」というコマンドを使って、国土安全保障省のデータベースを消しちゃった。この記事、めっちゃ面白い。喧嘩してる二人の兄弟は、ケイシー・アフレックとスコット・カーンが出てるオーシャンズの映画のキャラを思い出させるね。こんなに機密データに近づけるなんて驚きだよ。

映画の中のあの二人は、特にメキシコの工場の暴動に一緒に参加するシーンが好きだったな。

これが彼らの映像だと思う: https://youtu.be/Rx19zOzQeis

午後4時59分に、彼はAIツールに「データベースを削除した後、SQLサーバーのシステムログをどうやって消すの?」と尋ねた。その後、「Microsoft Windows Server 2012からすべてのイベントとアプリケーションログをどうやって消すの?」とも聞いていた。こんなに赤信号だらけなのに、どうして気づかないんだろう。

いい字だね。

[Opexus]は「双子を雇った責任者はもうOpexusにはいない」と言った。まさにクラシックなモンティ・パイソンのセリフに近いね。「解雇された人たちを解雇した責任者も解雇された。」冗談はさておき、こういうことは本当に嫌だな。多くの雇用主が、極端で非人間的な教訓を学ぶんじゃないかと心配してる。例えば、(a) 解雇をできるだけ突然に行い、すぐに全てのアクセスを停止すること、(b) 何らかの犯罪歴がある人には二度目のチャンスを与えない(例えば、数十年前のマリファナ所持とか)。もっとバランスの取れた方法がいいと思う。最近解雇された従業員だけじゃなくて、一般的に機密システムへの一方的なアクセスを制限すること、誰かが解雇されたら特に機密性の高い資格をすぐに停止すること(でも一般的なログインやメールアカウントはそのままにしておく)、ワイヤーフラウドで有罪の人をシステム管理者として雇わないこと、パスワードはちゃんとハッシュ化すること、などなど。

アクセスに関して「解雇をできるだけ突然に行い、すべてのアクセスを即座に停止する」というのは、やらないのは無能だよね。こういうポジションでは絶対に必要なスタンダードだと思う。ITスタッフの大半がそうじゃなかった職場は見たことない。HRと会って、誰かがデスクを片付けて、セキュリティが外まで連れて行くって感じ。

冗談はさておき、こういうのは最悪だよね。多くの雇用主が、極端で非人間的な教訓を学ぶんじゃないかと疑ってる。例えば:(a) 解雇をできるだけ突然に行い、すべてのアクセスを即座に停止する。従業員はいつも最後に知ることになる。これが普通なんだよね。

でも今はそういうことを全部やってるよ…アメリカでは、Teamsミーティング中に裏でアクセスを終了させるし、履歴書に何か隙間や問題、ちょっとしたミスがあったら、AIエージェントによってリサイクルビンに捨てられちゃう。

よりバランスの取れたバージョン:複雑すぎて主観的だし、リスクが高い匂いがする。あと、これが非人間的だとは思わないよ(昔、レイオフの時に受けた側だったし、何度もそのプロセスに関わったから)。私たちが関わる全ての会社で、非自発的な契約解除の標準的なやり方だよ。もしその会社がまだこれをやってないなら、やることを勧めるね。

本当のプロは、家に帰る前に自分の作業スペースを完全にきれいにしておくもんだよね。

じゃあ、銃と弾薬はないの?

2025年3月12日、アレクサンドリアにあるソハイブの家で捜索令状が執行された。捜査官たちはたくさんのテクノロジー機器を押収したが、銃器7丁と.30口径の弾薬370発も見つけた。彼の過去の犯罪を考えると、こんなの持ってるはずがない。お願いだから、犯罪を犯しているときにさらに犯罪を犯さないでくれ。

一度に一つの犯罪だけを犯せよ。

彼が裏口から全速力で逃げて、州境に出て、銃を自宅に郵送したらいいなって思ってた。全部隠そうとして。

どうやって5000のパスワードにアクセスしたの? それは平文で送信/保存されてるの? この記事で一番謎なのはここだな。もう一つ不明なのは、雇用終了と同時にアカウントアクセスを停止しないでSOC2を通過できるのかってこと。

記事からすると、パスワードは本当に平文で保存されているみたいだね: > 2025年2月1日、ムニーブ・アクターはソハイブ・アクターに、平文のパスワードを求めた。これは、アクターたちの雇用主が管理していた平等雇用機会委員会の公共ポータルに苦情を提出した個人のものだった。ソハイブ・アクターはEEOCデータベースでデータベースクエリを実行し、その後ムニーブ・アクターにパスワードを提供した。そのパスワードは、その個人のメールアカウントに無許可でアクセスするために使用された。

パスワードをプレーンテキスト以外でどうやって保存するつもりなの?もちろん暗号化するけど。5千は多いし、認証プロセスは壊れてるけど、パスワードの保存方法とは関係ないよ。唯一の解決策は、正しいアクセスの分離とバスティオンだね。

ポリシーと実際の運用は同じとは限らないよね。会社と全管理スタッフは、今後の調達のために誰かのブラックリストに載るべきだと思う。

彼らのオフボーディングポリシーによるね。もし72時間とかなら、ポリシー違反にはならないよ。

これがまだ有効なシナリオとして思いつくのは、スパイ活動くらいかな。最低限できることは、完全にオフラインのパスワードマネージャーで、サービスごとに異なるランダムなパスワードを持つことだね。常にパスワードマネージャーに頼ることになるけど、少なくとも影響を受けるサービスの範囲は最小限に抑えられる。

彼は悪い人かもしれないけど、すごく綺麗な字を書くよ。

あなたのコメントのおかげでTFAを読みに行ったけど、確かにあの字はかなり綺麗だね。

ムニーブとソハイブ・アクター、今34歳の兄弟は、以前にもトラブルを抱えていた。2015年、兄弟はバージニア州でワイヤーフラウドとコンピュータに関わる計画で有罪を認めた。ムニーブは3年の懲役を言い渡され、ソハイブは2年を受けた。刑務所から出た後、兄弟はテック業界に戻ってきた。2023年、ムニーブはワシントンDCの会社で、45の連邦クライアントにソフトウェアとサービスを提供する仕事を得た。ソハイブもその会社に1年後に入社した。マジで何なんだ。人にセカンドチャンスを与えるのには賛成だけど、もうちょっと制限を設けるべきじゃないかな?