2025年2月、米国バージニア州の兄弟が連邦政府の委託業者から解雇された直後、96件の政府データベースを消去し、ログ隠滅にはAIアシスタントを利用したという事件が明らかになった。単なる「インサイダー犯罪」の話ではなく、特権アクセス管理の設計に根本的な欠陥があることを示す教科書的な事例だ。

事件の経緯

主犯のSohaib Akhterと双子の兄弟Muneeb Akhterは、2016年にも米国務省のシステムへの不正アクセスと個人情報窃取で有罪判決を受け、服役している。ところが服役後、45以上の連邦機関を顧客とする委託会社に再雇用された。2025年2月18日、雇用主が前科を把握して2人をリモート会議で解雇した——その瞬間から犯行は始まった。

わずか数時間のうちに、2人はシステムへの不正アクセスを行い、データベースに書き込み禁止フラグを設定した上で削除。その後、証拠隠滅のためにAIアシスタントにシステムログの消去方法を尋ねていたことも判明している。削除されたデータには、国土安全保障省(DHS)の捜査記録や情報公開法(FOIA)関連文書など、複数の連邦機関の機密情報が含まれていた。Sohaibは最大21年、Muneebは最大45年の禁固刑に直面している。

なぜこれが起きたのか:3つの構造的失敗

1. バックグラウンドチェックの形骸化

前科者が「45以上の連邦機関の機密データを扱う」ポジションに再雇用されていたこと自体、採用審査プロセスの致命的な欠陥だ。審査はあったはずだが、機能しなかった。

2. 解雇とアクセス権剥奪のタイムラグ

「リモート会議で解雇通知→その直後に犯行」という流れが示すのは、解雇処理とシステムアクセス権の即時剥奪が連動していなかったという事実だ。通知を受けたその瞬間にアクセスできた——この一点が致命的だった。

3. 過剰な常時アクセス権の付与

データベースを即座に削除・改ざんできる権限が、日常業務に不要な形で常時付与されていたとすれば、ゼロトラストの根本原則に反する。「最小権限(Least Privilege)」と「ジャスト・イン・タイム(JIT)アクセス」が徹底されていれば、被害を大幅に抑制できた可能性がある。

AIを「犯罪ツール」として利用

注目すべきは、ログ隠滅のためにAIアシスタントを利用していた点だ。AIの普及が進む中、「AIが攻撃者の支援ツールになり得る」というリスクは以前から指摘されていたが、実際に証拠として出てきたのは印象的だ。とはいえ、AIが「教えてしまった」という問題より、そもそも実行できる権限と環境が存在していたことの方が根本的な問題だ。

実務への影響:日本のIT管理者が今日から考えるべきこと

解雇プロセスとIAMの連携を見直す

「解雇通知と同時にアクセス権剥奪」は、HR(人事)システムとIAM(Identity and Access Management)の連携によって自動化できる。人事異動・退職処理のワークフローに、Entra IDのアカウント無効化・グループ削除を組み込んでいるか確認したい。

JIT(Just-In-Time)アクセスの導入

「必要な時だけ、必要な権限だけを付与する」JITアクセスは、Privileged Identity Management(PIM)で実装できる。常時付与した特権アカウントは、使われていない時間帯も攻撃・悪用の窓口になる。

委託業者・外部パートナーのアクセス管理

社員に比べて委託業者のアクセス管理は甘くなりがちだ。外部パートナー向けのゲストアカウント管理ポリシーや条件付きアクセス(Conditional Access)の適用範囲を改めて確認することを勧める。

クリティカルな操作には追加承認を

データベースの削除・初期化といった「後戻りできない操作」には、追加認証や管理者承認をトリガーする仕組みを設けることで、単一アカウントの侵害が即座に壊滅的な被害につながるリスクを下げられる。

筆者の見解

この事件を「アメリカの話」として消費するのはもったいない。構造的な問題——前科者の再雇用、アクセス権の即時剥奪失敗、過剰な常時権限——は、日本のIT環境でも当たり前のように存在している。

特に委託業者が深く関与している大手企業・官公庁のシステムでは、「委託先のアカウントが今どんな権限を持っているか」を即座に答えられる体制が整っていないケースは少なくないはずだ。

JITアクセスやIAM自動化は「理想論」ではなく、今日のクラウド環境であれば現実的に実装できる。「解雇した瞬間に全権限が失効する」仕組みを作ることは、技術的にはそれほど難しくない。難しいのは、そこに優先度を割く意思決定だ。

「今動いているから大丈夫」は通用しない——そう教えてくれる事件が、また一つ記録された。

出典: この記事は Former govt contractor convicted for wiping dozens of federal databases の内容をもとに、筆者の見解を加えて独自に執筆したものです。