シリコンバレーのエンジニア、Googleや技術の企業秘密窃盗の容疑で起訴される
概要
- 連邦検察官は、元Googleエンジニア3人を企業秘密の窃盗と妨害の容疑で起訴した。
- 被告人は、各企業秘密の窃盗罪で最大10年の懲役、妨害罪で最大20年の懲役に問われる可能性がある。
- 検察当局は、企業秘密が不正にルーティングされ、イランからのアクセスも含まれていたと主張している。
連邦検察は、Googleや他の企業から機密チップセキュリティの企業秘密を盗み、不正な場所にルーティングしたとして、シリコンバレーのエンジニア3人を逮捕した。これにより国家安全保障上の懸念が高まっている。 米国北部地区連邦裁判所の大陪審は、サマネ・ガンダリ、スルール・ガンダリ、モハメドジャヴァド・ホスラヴィに対して起訴状を返付した。起訴状は水曜日に提出され、木曜日にサンノゼで公開されたとDOJの声明は述べている。 Google在職中のサマネ・ガンダリは、「Googleの企業秘密を含む数百のファイルを第三者の通信プラットフォームに転送した」とされている。これらのファイルは、各被告の名前を冠したチャネルに送信されたという。 未だに公開された起訴状のコピーは入手できていない。_Decrypt_は関連するDOJの担当部署に問い合わせを行っている。
この3人は、Googleや他の2つの未公表の企業での勤務を利用し、モバイルコンピュータプロセッサに関する機密ファイルにアクセスしたとされる。DOJによると、盗まれた資料にはプロセッサのセキュリティや暗号化に関する企業秘密が含まれ、Googleの資料は後に個人のデバイスや、被告が勤務していた他の企業の作業用デバイスにコピーされた。 検察は、被告らがファイルを削除したり電子記録を破壊したり、被害企業に対して秘密情報を外部に共有していないと虚偽の宣誓供述書を提出したりして、行動を隠そうとしたと主張している。 起訴状によると、2023年12月、イランに渡航する前夜にサマネ・ガンダリが、別の企業の作業用コンピュータ画面の企業秘密情報を約2ダースの画像として撮影したとされる。 イラン滞在中、彼女に関連付けられたデバイスがこれらの写真にアクセスし、ホスラヴィも追加の企業秘密資料にアクセスしたとされる。
DOJによると、Googleの内部セキュリティシステムは2023年8月に不審な活動を検知し、サマネ・ガンダリのアクセスを取り消した。起訴状は、彼女が後にGoogleの秘密情報を外部に共有していないと宣誓したと主張している。 3人とも、連邦法の下での陰謀と企業秘密の窃盗に加え、記録や物品を不正に改ざん・破壊・隠蔽して公的手続きの妨害を行ったとして起訴されている。 妨害の罪は、最大20年の懲役刑が科される可能性がある。
リスクと安全保障への影響 専門家は、この事件が高度な半導体や暗号システムへの内部アクセスが国家安全保障に与える影響を示していると指摘している。 「正当なアクセス権を持つ従業員は、既存の管理体制があっても、長期間にわたり高度に機密性の高い知的財産を静かに抽出できる」と、Kronos Researchの最高投資責任者Vincent Liuは_decrypt_に語った。 半導体や暗号技術企業にとってのリスクは、「ハッカーではなく、信頼された内部者から生じることが多い」とし、内部リスクは「継続的な監視と厳格なデータ分離を必要とする持続的な構造的脆弱性」であると述べた。 こうしたケースでは、「内部者が攻撃の対象となる」と、Horizontal Systemsの戦略リードDan Dadybayoは_decrypt_に語った。「ファイアウォールは意味をなさない。なぜなら、情報漏洩の経路が正当なアクセスだからだ」とし、エンジニアが「アーキテクチャや鍵管理ロジック、ハードウェアセキュリティ設計を管理された環境外に移動できる場合、『境界』は崩壊する」と指摘した。 もし、敏感なプロセッサや暗号IPがイランに渡った場合、規制当局は積極的に対応するだろう。
彼は、「知識アクセス自体が輸出とみなされる『輸出規則の厳格な執行』や、『米国内の企業におけるより厳しいセグメント化、監視、ライセンス要件』を指摘した。さらに、先端チップや暗号技術はもはや『中立的な商業商品』ではなく、『地政学的権力の道具』として扱われている」と述べた。
この事件はまた、形式的なコンプライアンスと実際のレジリエンスのギャップも浮き彫りにしている。 「ほとんどの技術組織では、SOC 2やISO認証を取得すれば情報窃盗リスクは軽減されると考えられている」と、暗号セキュリティ・コンプライアンス企業HackenのエグゼクティブチェアマンDyma Budorinは_decrypt_に語った。 こうしたフレームワークは、「コンプライアンスの成熟度を測るものであり、決定的な攻撃者、特に内部者に対する実際の耐性を示すものではない」と述べた。 彼は、「認証は監査時点でコントロールが存在することを証明するが、敏感なデータが盗まれないことを証明するものではない」と指摘した。 これらの基準は一般的な安全策を規定しているため、防御を予測可能にするとも述べた。 高度な攻撃者にとって、「コンプライアンスが守られている状態」はしばしば「予測可能」であり、真のセキュリティには「継続的な検証、行動監視、敵対者によるテスト」が必要だと警告した。さもなければ、組織は「書面上はコンプライアンスを満たしていても、実際には重大な脆弱性にさらされている」可能性がある。