解雇された報復に会社のコードを削除したエンジニアが禁錮2年と7000万円超の賠償金支払いを命じられる

2020年3月、会社から解雇されたことを逆恨みしたクラウドエンジニアの男が、報復としてサーバーのデータやGitHubリポジトリのコードを削除する事件が発生しました。この事件の裁判で、男に禁錮2年と50万ドル(約7300万円)超の賠償金の支払いが命じられました。

Northern District of California | Disgruntled Cloud Engineer Sentenced To Two Years In Prison For Intentionally Damaging His Former Employer’s Computer Network After He Was Fired | United States Department of Justice
https://www.justice.gov/usao-ndca/pr/disgruntled-cloud-engineer-sentenced-two-years-prison-intentionally-damaging-his

Cloud engineer gets 2 years for wiping ex-employer’s code repos
https://www.bleepingcomputer.com/news/security/cloud-engineer-gets-2-years-for-wiping-ex-employers-code-repos/

サンフランシスコ在住のミクロス・ダニエル・ブロディという男は2020年3月11日、クラウドエンジニアとして働いていたファースト・リパブリック・バンク(FRB)を解雇されました。FRBはサンフランシスコに本社を置いていた中堅銀行ですが、2023年5月にはアメリカの銀行として史上2番目の規模で経営破綻し、預金と資産は大手銀行のJPモルガン・チェースに買収されています。

ブロディが解雇されたのは、ポルノを含むUSBドライブを会社のコンピューターに接続し、会社のポリシーに違反したためだったとのこと。しかし、解雇されたことに恨みを持ったブロディは社用ノートPCを返却せず、解雇された日の夜から翌朝にかけてまだ有効な社員アカウントを使用して、FRBのコンピューターネットワークにアクセスして会社に損害を与えたとされています。

ブロディは悪意のあるスクリプトを実行してFRBのサーバーからデータを消去したり、特定のスクリプトに関するGitログとGitコミット履歴を削除したり、FRBのGitHubリポジトリにアクセスしてホストされているコードを削除したりしたとのこと。また、FRBのコード内に元同僚への罵倒を書き残したり、他の従業員の名前でセッションを開いて身元を偽装しようとしたり、自身が取り組んだ5000ドル(約73万円)超の価値があるコードをメールで自分に送信したりしたそうです。

また、ブロディは解雇された後に「ジムでトレーニング中に会社支給のノートPCが盗まれた」という虚偽の被害届をサンフランシスコ警察に提出するなど、自分の犯罪を隠そうとする工作活動も行ったとのこと。2021年3月に逮捕された後も同様の虚偽の主張を繰り返したそうですが、2023年4月には政府機関に対して虚偽の陳述をした罪と、FRBに対するネットワーク侵入の罪で有罪を認めました。

アメリカ上級州地方裁判所判事のウィリアム・オリック氏は、FRBのシステムへの損害は少なくとも22万621ドル(約3200万円)に達すると判断しました。そして現地時間の12月11日、ブロディには24カ月(2年)の禁錮刑に加えて総額52万9266ドル(約7700万円)の賠償金を支払うこと、そして刑期終了後に3年間の監視期間を設けることが命じられました。