3人のエンジニアがGoogleなどの企業からチップセキュリティの営業秘密を盗んだ容疑で起訴される

Odailyの報道によると、連邦検察官は、Googleなどの企業から機密性の高いチップセキュリティの営業秘密を盗み、イランを含む許可されていない場所に送ったとして、シリコンバレーのエンジニア3人を逮捕した。米国カリフォルニア州北部地区連邦地方裁判所の連邦大陪審は、Samaneh Ghandali、Soroor Ghandali、Mohammadjavad Khosraviを起訴した。

米国司法省（DOJ）の声明によると、Google在職中、Samaneh Ghandaliは、Googleの営業秘密を含む数百のファイルをサードパーティの通信プラットフォームに転送した疑いがある。盗まれた資料は、プロセッサのセキュリティと暗号化に関する営業秘密に関わるものだった。被告らは、ファイルの削除、電子記録の破棄、被害企業への虚偽の宣誓供述書の提出によって、自身の行為を隠蔽しようとしたとされている。

起訴状によると、2023年12月、イランへ出発する前夜、Samaneh Ghandaliは別の企業の業務用コンピュータの画面に表示された約20枚以上の営業秘密情報の画像を撮影した。イラン滞在中、彼女に関連するデバイスがこれらの写真にアクセスし、Khosraviは他の営業秘密資料にアクセスした。Googleの内部セキュリティシステムは2023年8月に不審な活動を検知し、Samaneh Ghandaliのアクセス権限を剥奪した。

3人の被告は全員、共謀、営業秘密窃盗、司法妨害の罪で起訴されている。司法妨害罪の法定最高刑は懲役20年である。

Kronos Researchの最高投資責任者（CIO）、Vincent Liu氏は、合法的なアクセス権限を持つ従業員は、既存の管理策があっても、時間をかけて高度に機密性の高い知的財産を密かに持ち出す可能性があると述べた。半導体および暗号化企業が直面するリスクは、通常「ハッカーではなく、信頼された内部関係者」に由来するとしている。

Horizontal Systemsの戦略責任者、Dan Dadybayo氏は、エンジニアがアーキテクチャ、鍵管理ロジック、またはハードウェアセキュリティ設計を管理された環境外に移すことができる場合、「境界」は崩壊すると述べた。

Hackenの執行会長、Dyma Budorin氏は、SOC 2やISOなどの認証フレームワークは通常、コンプライアンスの成熟度を測定するものであり、特定の攻撃者（特に内部関係者）に対する実際のレジリエンスを測定するものではないと述べた。これらの認証は、監査時点で管理策が存在することを証明するが、機密データが盗まれないことを証明するものではない。