元L3Harris幹部、ロシアへのサイバー兵器売却で有罪認める
防衛請負業者L3Harrisの部門であるTrenchantの元ゼネラルマネージャー、ピーター・ウィリアムズが、同社が西側政府向けに開発した監視・ハッキングツールを盗み、ロシアのブローカーに売却した罪を先週認めた。この事件は、サイバーセキュリティ業界に大きな衝撃を与えている。
事件の経緯と手口
ウィリアムズは、2022年から2025年7月にかけて、8つのエクスプロイト、いわゆる「ゼロデイ」を盗み出し、売却したことを検察に認めた。これらのエクスプロイトは、ソフトウェアの未知の脆弱性を悪用するもので、標的のデバイスをハッキングするために極めて価値が高い。ウィリアムズは、盗んだエクスプロイトの価値を3,500万ドルと見積もっていたが、ロシアのブローカーからは暗号通貨でわずか130万ドルしか受け取っていなかった。
裁判所の文書によると、ウィリアムズはTrenchantでの地位と在職期間を利用し、同社のセキュアネットワークへの「スーパーユーザー」アクセスを維持していた。このアクセス権により、彼はTrenchantのハッキングツールが保存されている、アクセス制御され、多要素認証された内部ネットワーク上のすべての活動、ログ、データに完全にアクセスできた。彼はこの広範なアクセスを悪用し、ポータブル外付けハードドライブを使用して、シドニーとワシントンD.C.のTrenchantオフィスにあるセキュアネットワークからエクスプロイトを転送し、その後、個人デバイスに移動させた。そして、盗んだツールを暗号化されたチャネルを通じてロシアのブローカーに送付した。
内部犯行の詳細
元Trenchantの従業員は、ウィリアムズが社内で「非常に高い信頼の地位」にあったと証言している。彼は長年同社に勤務しており、L3HarrisによるAzimuthとLinchpin Labsの買収以前から在籍していた。「彼は非難の余地がないと認識されていた」と元従業員は述べ、彼が「誰からも監督されず、自分のやりたいように行動することを許されていた」と付け加えた。
2024年10月、Trenchantは自社製品の1つが流出し、「不正なソフトウェアブローカー」の手に渡っていることを警告された。ウィリアムズは、この漏洩に関する調査の責任者に任命されたが、その調査では会社のネットワークへのハッキングは除外され、元従業員が「エアギャップデバイスから不適切にインターネットにアクセスした」ことが判明した。
TechCrunchの以前の報道によると、ウィリアムズは2025年2月に、二重雇用を理由にTrenchantの開発者を解雇した。この開発者は後に、ウィリアムズが彼をChromeのゼロデイを盗んだと非難していたことを知ったが、彼はiPhoneやiPadのエクスプロイト開発に携わっていたため、それらへのアクセス権はなかった。この元開発者は、ウィリアムズが自身の行動を隠蔽するために彼を陥れたと信じている。
事件発覚と捜査
2025年7月、FBIはウィリアムズに事情聴取を行った。彼は、セキュアネットワークから製品を盗む最も可能性の高い方法は、そのネットワークへのアクセス権を持つ人物が「携帯電話や外付けドライブのようなエアギャップデバイス」にダウンロードすることだと述べた。そして8月、ウィリアムズは自身の犯罪の証拠を突きつけられ、FBIに自白した。彼は、ロシアのブローカーに売却した後、韓国のブローカーが自分のコードを使用しているのを発見したと供述している。
ウィリアムズは、ロシアのブローカーとのやり取りに「ジョン・テイラー」という偽名、外国のメールプロバイダー、および特定の暗号化アプリを使用した。このブローカーは、AndroidフォンやiPhoneをハッキングするためのツールに最大2,000万ドルを提供しており、ロシアの民間および政府機関にのみ販売しているとされている。Wiredは、ウィリアムズが盗んだツールをOperation Zeroに売却した可能性が高いと最初に報じた。
業界への影響とセキュリティの教訓
ウィリアムズの事件は、攻撃的サイバーセキュリティコミュニティに大きな波紋を広げている。業界関係者の中には、彼の行動が「西側の国家安全保障機構への裏切りであり、現在我々が抱える最悪の脅威アクターであるロシアへの裏切りである」と見なす者もいる。これらの機密情報が、西側の能力を損ない、他の標的に対して使用される可能性のある敵対者に渡ったことは、「重大な損害」を引き起こすと指摘されている。
この事件は、最高レベルの信頼が置かれた内部の人間による脅威がいかに深刻であるかを示している。企業は、たとえ上級幹部であっても、アクセス権の厳格な管理、監視、そして定期的な監査の重要性を再認識する必要があるだろう。