三名のエンジニアが、Googleなどの企業のチップ安全に関する商業秘密を窃取したとして告発された

Odaily星球日报によると、連邦検察官は3人のシリコンバレーのエンジニアを逮捕し、彼らがGoogleなどの企業から機密のチップ安全に関する商業秘密を窃取し、イランを含む未許可の場所に輸送したと指摘しています。米国カリフォルニア北部地区裁判所の連邦大陪審は、サマネ・ガンダリ、スルール・ガンダリ、モハメドジャヴァド・コスラビに対して起訴状を提出しました。

米国司法省（DOJ）の声明によると、Google在職中のサマネ・ガンダリは、数百のファイル（Googleの商業秘密を含む）を第三者通信プラットフォームに移動させた疑いがあります。盗まれた資料は、プロセッサの安全性や暗号学に関する商業秘密に関わるものです。被告らは、ファイルの削除や電子記録の破壊、被害企業への虚偽宣誓供述書の提出を通じて、自らの行為を隠蔽しようとしたとされています。

起訴状によると、2023年12月、イランへ向かう前夜、サマネ・ガンダリは別の企業の作業用コンピュータ画面に表示された約20枚の商業秘密情報の画像を撮影しました。イラン滞在中、彼女に関連するデバイスがこれらの写真にアクセスし、コスラビは他の商業秘密資料にアクセスしました。Googleの内部セキュリティシステムは2023年8月に疑わしい活動を検知し、サマネ・ガンダリのアクセス権を取り消しました。

3人の被告は、共謀と商業秘密の窃盗、司法妨害の罪で起訴されています。司法妨害罪の法定最高刑は20年の禁錮です。

Kronos Researchの最高投資責任者ヴィンセント・リウは、正当なアクセス権を持つ従業員であっても、既存の管理措置の下でも、時間の経過とともに高度に機密性の高い知的財産をこっそり抽出する可能性があると述べています。半導体や暗号学の企業が直面するリスクは、一般的に「信頼された内部者」からのものであり、「ハッカー」からのものではないことが多いです。

Horizontal Systemsの戦略責任者ダン・ダディバヨは、エンジニアがアーキテクチャや鍵管理ロジック、ハードウェアのセキュリティ設計を管理された環境から移出できる場合、「境界」が崩壊すると述べています。

Hackenの執行会長ダイマ・ブドリンは、SOC 2やISOなどの認証フレームワークは、通常、コンプライアンスの成熟度を測るものであり、特定の攻撃者（特に内部者）に対する実際の耐性を示すものではないと指摘しています。これらの認証は監査時に管理措置が存在することを証明しますが、機密データが盗まれないことを保証するものではありません。