国家サイバー攻撃としてのDOGE

 (schneier.com)
2 ポイント 投稿者 GN⁺ 2025-02-14 | 1件のコメント | WhatsAppで共有

DOGEによる国家サイバー攻撃

  • ここ数週間、米国政府は歴史上最も重大なセキュリティ侵害の一つを経験した。これは複雑なサイバー攻撃や外国によるスパイ活動ではなく、政府における役割が明確でない億万長者の公式命令によって引き起こされたものだった。

  • 新設された政府効率化省(DOGE)に関係する人々が米財務省のコンピューターシステムにアクセスし、年間約5.45兆ドルの連邦支払いデータを収集し制御できる能力を持っていた。

  • DOGEの未承認の人員が米国際開発庁の機密データにアクセスしてコピーした可能性があり、人事管理局(OPM)とメディケアおよびメディケイドの記録も侵害された。

  • CIA職員の氏名が一部黒塗りされた状態で非公式のメールアカウントに送信され、DOGEの人員は教育省のデータを人工知能ソフトウェアに入力し、エネルギー省でも作業を始めた。

  • 2月8日、連邦判事はDOGEチームが財務省システムにこれ以上アクセスできないよう差し止めたが、すでにデータをコピーし、ソフトウェアをインストールおよび改変した可能性があり、解決策は不透明である。

  • DOGEがアクセスしたシステムは国家インフラの中核要素であり、財務省システムには連邦政府の資金移動に関する技術的設計図が含まれている。

  • この事件は、外部の運用者が限られた経験と最小限の監督の下で公然と作業し、米国で最も機微なネットワークに最高レベルの管理アクセス権を取得して変更を加えているという点で前例がない。

  • 最も懸念されるのは、単にアクセス権が付与されたことではなく、セキュリティ対策が体系的に解体されている点である。これは標準的なインシデント対応プロトコル、監査および変更追跡の仕組みを取り除き、経験の浅い運用者に置き換えることを意味する。

  • 財務省のコンピューターシステムは、核兵器の発射プロトコルと同様の原則で設計されており、単独の個人が無制限の権限を持たないようになっている。これは「職務分掌」というセキュリティ原則であり、腐敗と誤りを防ぐための不可欠な安全装置である。

  • DOGEに関係する人物たちは、財務省コンピューターの中核プログラムを改変できる権限を取得しており、暗号化キーにアクセスし、システム変更を記録する監査ログを改変できる。

  • こうしたシステムの改変は、現在の運用を損なうだけでなく、将来の攻撃で悪用され得る脆弱性を残している。

  • 3つの主要なセキュリティ領域が脅かされている。すなわち、システム改ざん、データ露出、システム制御である。

  • これらの脆弱性に対処するには、未承認アクセスを撤回し、適切な認証プロトコルを復元し、包括的なシステム監視と変更管理を再開する必要がある。

  • これは政治の問題ではなく国家安全保障の問題であり、外国情報機関が混乱と新たな不安定性を利用して米国のデータを盗み、バックドアを設置する可能性がある。

関連記事

1件のコメント

 
GN⁺ 2025-02-14
Hacker Newsの意見
  • 敵対的な、あるいは敵国がデータを収集し、国家を攻撃する方法を理解する機会を得ることへの懸念は妥当である
    • 選挙で選ばれた公職者が愚かまたは安全でない行動を取ることと、選挙で選ばれていない人々が何の抑制もなくそれを行えることには違いがある
    • Bruce Schneierの意見を尊重しており、この話題に関するすべての投稿がフラグ付けされるのを防ぐため、この投稿を推薦する
  • Schneierの論理には誤りがあるかもしれない
    • 「彼らはこの機密データでAIソフトウェアを訓練している」という報告がある
    • 推論を実行することは訓練と同じではない
    • この投稿はフラグ付けされるべきではなく、それは言論の自由に反する
    • HNで彼の洞察を価値あるものと考えている人は多い
    • 反対意見は、消し去ろうとする試みではなくコメントで表明するほうがよい
  • 国家がこの混乱を乗り切るなら、ソフトウェアは最初から書き直されるべきだ
    • そうでなければ、国外および国内のどの行為者がシステムに関する知識を持っているのか分からない
  • Schneierはフラグ付けされるべきではない
    • 数日間、サイバーセキュリティ上のリスクについての冷静で総合的な評価を待っていた
    • これが私たちに得られる最も近い評価である
  • Chestertonの柵の原則を認識すべきだ
    • 「Chestertonの柵」とは、現状が存在する理由を理解するまでは改革を行うべきではないという原則である
  • 行動は、結果が課されるまで続くだろう
    • この結果は立法上または法的なものでなければならない
  • 神の思し召しなら、行政国家はそれを抑制するために選ばれた公職者たちによってひざまずかされるだろう
  • 企業は非公式な政府の第四の部門である
    • 株式市場が暴落すれば、彼らは消えるだろう
    • 政治家向けの選挙献金とロビイストへの資金の蛇口は閉まるだろう
    • パニックが起き、リーダーシップは変化するだろう
    • Citizens Unitedは、どこからでもダークマネーが無期限に選挙運動を支援できるようにしているが、米ドルと市場への信認喪失による株式市場の暴落を相殺するには十分ではない
  • 関連記事: 「財務省はDOGEのアクセスが『内部脅威』として記録されたと警告を受けた」
    • Booz Allen Hamiltonが実施した評価は、Elon Muskの同盟者を機密性の高い決済システムの監督者に任命する前に行われた
  • 政府請負業者のBooz Allen Hamiltonは、金曜夜に報告書を作成した下請け業者を解雇したと明らかにした
    • それは、Elon Muskの政府効率化省が財務省の決済システムにアクセスすることは「前例のない内部脅威リスク」をもたらし、直ちに中止されるべきだと主張する草案報告書だった