事件の背景と逮捕の経緯
アイオワ州ダラス郡で、裁判所のセキュリティ評価を行っていた2名のペネトレーションテスターが不当に逮捕されるという事件が発生しました。この事件は、セキュリティ業界全体に大きな影響を与え、物議を醸しています。
2019年9月11日未明、セキュリティ企業Coalfire Labsに所属していたゲイリー・デマーキュリオ氏とジャスティン・ウィン氏は、アイオワ州司法機関から正式な書面による許可を得て、ダラス郡裁判所の「レッドチーム」演習を実施していました。この演習は、犯罪ハッカーや侵入者による実際の攻撃を模倣し、既存の防御システムの回復力をテストすることを目的としていました。許可書には、「鍵開け」を含む「物理的攻撃」が明示的に認められていましたが、重大な損傷を与えないことが条件でした。
彼らは裁判所のサイドドアが施錠されていないのを発見し、一度閉めて施錠した後、工具を使って施錠機構を解除して侵入。その後、アラームが作動し、当局に通報されました。駆けつけた警察官に対し、両氏は「お目こぼしカード」とも呼ばれる許可書を提示。当初、警察官は許可書の正当性を確認し、両氏の業務を理解する姿勢を見せていましたが、ダラス郡の保安官チャド・レナード氏が到着すると状況は一変しました。
不当逮捕と長期にわたる法廷闘争
レナード保安官は、裁判所が自身の管轄下にあるとして、両氏の侵入を承認していないと主張し、重罪である第三級侵入窃盗の容疑で両氏を逮捕しました。デマーキュリオ氏とウィン氏は20時間勾留され、それぞれ5万ドル、合計10万ドルの保釈金を支払って釈放されました。その後、容疑は軽犯罪の不法侵入に減刑されましたが、レナード保安官は公に両氏が違法行為を行ったと主張し、起訴すべきだと訴え続けました。
最終的に、すべての容疑は棄却されましたが、両氏はダラス郡とレナード保安官に対し、不当逮捕、訴訟手続の濫用、名誉毀損、精神的苦痛の故意による惹起、悪意による訴追を理由に訴訟を提起しました。この訴訟は長年にわたり係争状態にありました。
60万ドルの和解と業界への教訓
裁判開始予定日のわずか5日前に、ダラス郡は訴訟解決のため、両氏に60万ドルの和解金を支払うことに合意しました。この和解は、両氏の主張の正当性を示すものとなりました。
ウィン氏は声明で、「この事件は誰も安全にしなかった」と述べ、政府の脆弱性特定を助けることが逮捕や公衆の面前での恥辱につながるという「全国のセキュリティ専門家にとって恐ろしいメッセージ」を送ったと指摘しました。このような事件は、セキュリティ専門家のキャリアにとって致命的であり、許可されたセキュリティ評価中に投獄される可能性は、ペネトレーションテスターだけでなく、彼らを雇用する顧客にも大きな懸念を抱かせます。
デマーキュリオ氏は、「この和解は、我々の仕事が最初から許可されており、プロフェッショナルであり、公益のためであったという我々の主張を裏付けるものです」と述べ、自身が設立した会社Kaiju Securityを挙げ、この経験が彼らの人生を大きく変え、長年築き上げてきた評判を傷つけたと語りました。
業界専門家からの見解
記事のコメント欄では、この事件に対するセキュリティ専門家たちの意見が交わされています。
- ある元ペンテスターは、「逮捕されるべきではなかったが、彼らを許可した人々が実際にその権限を持っていたかどうかは不明」と指摘し、承認プロセスにおける法的確認の重要性を強調しました。
- また別の専門家は、「この一件は、物理的なペネトレーションテストの実施方法に大きな変化をもたらした」と述べ、法執行機関との明確なコミュニケーションと承認範囲の確認が不可欠であることを示唆しました。
この事件は、セキュリティテストの重要性とその実施における法的・倫理的な境界線、そして関係者間の明確なコミュニケーションの必要性を改めて浮き彫りにしました。