2 ポイント 投稿者 GN⁺ 2025-04-16 | 1件のコメント | WhatsAppで共有
  • NLRBのIT職員Daniel Berulisが議会・監督機関に提出した資料には、DOGEのエンジニアが内部システムにアクセスした後、機密性の高い労働関連データが外部へ流出した可能性と、ログ隠蔽の疑いが含まれている
  • DOGE側は最高レベル権限であるtenant owner levelのアクセスを要求し、活動記録を残さない、または監視ツールを停止してアクセス記録を削除したとみられる状況が、公表資料と内部対話記録に含まれている
  • Berulisは、NxGen事件管理システムとネットワークで約10GBの外部転送スパイク、削除されたDOGEアカウント、コンテナ使用、SAS tokenの生成・削除、MFA無効化、DNSリクエスト急増を確認したと述べた
  • NLRBはDOGEのアクセス要求とシステムアクセスを否定し、侵害もなかったと説明したが、公表資料にはフォレンジックデータと対話記録が含まれており、複数のサイバーセキュリティ・労働法専門家は追加調査が必要だと見ている
  • 労組結成、進行中事件、証言、企業営業情報が露出すれば、労働者・労組・企業のすべてが被害を受ける可能性があり、MuskとSpaceXがNLRB事件に関与していることで利益相反への懸念も強まっている

NLRBとDOGEアクセス疑惑

  • National Labor Relations Board(NLRB)は不当労働行為の申し立てを調査・裁定する独立連邦機関であり、職員の労組結成に関する機密情報や企業の独占的事業情報などの機密データを保管している
  • 3月初め、Trump大統領のDepartment of Government Efficiency(DOGE)イニシアチブ所属の助言チームがワシントンD.C.南東部のNLRB本部に到着した
  • DOGE職員は、White House顧問でありテック企業CEOでもあるElon Muskが事実上率いる組織で、行政方針順守の有無やコスト削減・効率最大化のために各機関のデータを精査すると説明してきた
  • Berulisの公式な内部告発公開資料、インタビュー、内部コミュニケーション記録によると、NLRBの技術職員はDOGEエンジニアにアクセス権が付与された後、機関外へ出ていくデータが急増したのを見て警戒した
  • そのデータには労組、進行中の法的事件、企業秘密に関する情報が含まれていた可能性があり、労働法専門家4人は、そのようなデータがNLRB外へ出るべきではなく、政府効率化や支出削減とも無関係だと見ている

アクセス手法とログ隠蔽の疑い

  • DOGEエンジニアはNLRBのソフトウェア、ハードウェア、プログラミング言語、アプリケーション情報を事前に尋ね、NLRBが商用クラウド基盤と政府クラウドシステム接続を利用していることを把握した
  • Berulisの公開資料によると、DOGE職員は独立機関の内部コンピューターシステムで最高レベル権限であるtenant owner levelアカウントを要求した
    • この権限はデータを読み取り、複製し、変更できる事実上無制限のアクセス権である
    • あるIT職員が、NLRBのセキュリティポリシーに合わせて活動追跡可能な形でアカウントを有効化しようと提案したが、DOGEの妨げになることはするなと言われたと公開資料に記されている
  • サイバーセキュリティ専門家は、活動ログを残さないアクセス方式はNIST Cybersecurity Framework、CISA、FBI、NSAの勧告と矛盾すると見ている
  • Jake Braunは、機密データ流出を事前に検知して防ぐために、政府は内部脅威監視技術を購入していると述べた
  • Berulisによれば、NLRBの予算は長年、そのような内部脅威検知ツールを購入するのに十分ではなかった

NxGenとGitHubリポジトリ名

  • BerulisはDOGEエンジニアJordan Wickの公開GitHubアカウントで、NxGenBdoorExtractというリポジトリ名を発見した
    • WickはBerulisがさらに調査する前に、そのリポジトリを非公開に切り替えた
    • NPRはリポジトリのコードを復元できなかった
  • 複数のサイバーセキュリティ専門家は、リポジトリ名そのものが、NLRB内部の事件管理システムNxGenからファイルを抽出するためのバックドア、つまり「Bdoor」を設計した可能性を示唆すると見ている
  • NxGenはNLRB向けに内部設計された事件管理システムである
    • 多くのNLRB記録はいずれ公開されるが、NxGenには企業競合他社の独占データ、労組員または労組加入投票を行う職員の個人情報、進行中事件の証言が含まれている
    • そのデータへのアクセスはPrivacy Actを含む複数の連邦法で保護されている
  • NxGenを作ったエンジニアの1人は、ログ削除とtenant-levelアクセスの組み合わせが最も懸念されると評価した

データ流出を示唆するフォレンジック上の手掛かり

  • Berulisの公開資料によると、DOGEがNLRBを去った後、少なくとも1つのDOGEアカウントがMicrosoftベースのNLRBクラウドシステム上に作成され、その後削除された
    • アカウント名はDogeSA_2d5c3e0446f9@nlrb.microsoft.comと示されている
  • DOGEエンジニアはコンテナをインストールした
    • コンテナ自体は不審な技術ではないが、削除後に活動痕跡を残さず、ネットワークの他部分に内容を露出させずにプログラムを実行できる
  • Berulisは、NxGen事件管理システムの「nucleus」からデータが流出するのを見た後、ネットワーク自体でも大規模な外部トラフィックスパイクを確認したと述べた
  • 外部へ出たデータはほぼすべてテキストファイルで、約10GBに達したとBerulisは説明した
    • NLRB全体の履歴データは10TB超である
    • どのファイルが複製・持ち出しされたのか、圧縮・統合されたのか、特定ファイルだけをクエリして取得したのかは不明である
  • Berulisは、その週にNLRBでバックアップファイル保存やデータ移行プロジェクトはなかったと確認した
  • 外部トラフィック監視ログは消えており、一部のネットワーク作業とデータ持ち出しは「deleted account」以外に帰属情報がなかったと公開資料に記されている

無効化されたセキュリティ統制とDNSトンネリング疑惑

  • Berulisは、正体不明のユーザーがストレージアカウントアクセス用の高レベルアクセスキーであるSAS tokenを発行した後、削除したと述べた
    • その後そのトークンで何をしたのか追跡する方法はなかったという
  • 追加で確認された異常兆候には、複数のセキュリティ統制の弱体化が含まれる
    • 安全でない、または未承認のモバイル端末からのログインを遮断する統制が無効化された
    • 公開インターネットにインターフェースが露出した
    • 内部アラート・監視システムが手動で停止された
    • 多要素認証(MFA)が無効化された
    • NLRBと仕事をした外部弁護士の連絡先を含む「user roster」がエクスポートされた
  • Berulisはシステム上でPowerShellダウンロード5件を確認し、データ持ち出しの自動化や隠蔽に使われうるコードライブラリにも注目した
    • requests-ip-rotatorは非常に多くのIPアドレスを生成するツールと説明される
    • browserlessはWeb開発者が使う自動化ツールと説明される
    • 2つのリポジトリはJordan WickのGitHubアカウントアーカイブでスター付きリポジトリとして確認された
  • Berulisは、データ持ち出しと並行してDNSリクエストが平常時の1,000倍に増えたことを根拠に、DNSトンネリングの可能性を提起した
    • DNSトンネリングはクエリと応答を使ってデータを小片に分割し、外部へ送る方式である
  • ある脅威インテリジェンス研究者は、ロシアの脅威アクターが米政府システムで類似手法を使った事例があるとしつつも、NLRBシステム全体へのアクセスなしに事案を完全検証するのは難しいと述べた
  • FBIでサイバーセキュリティ業務を担っていたRuss Handorfは、全体状況は憂慮すべきだが、調査が終わる前に誰がやったか断定はできないと見ている

ロシアIPログイン試行と外部攻撃面

  • Berulisの公開資料によると、DOGEがNLRBシステムにアクセスしてから数分以内に、ロシアのIPアドレスからログイン試行が発生した
    • その試行は新たに作成されたDOGEアカウントの1つを使っており、ユーザー名とパスワードは一致していたとBerulisは述べた
    • ログイン試行は遮断された
  • サイバーセキュリティ専門家は、ロシアIPからの数回の失敗したログイン試行だけでは決定的証拠にならないと見ている
  • ただし、一連の活動の流れと合わせると、外国の敵対勢力がDOGEエンジニアらによって露出した可能性のある政府システムへの侵入口をすでに探しているのではないかとの懸念が生じる
  • Handorfは、DOGEエンジニアがネットワークアクセスポイントを開いたままにした場合、スパイや犯罪者がDOGEの後を追って侵入し、データを盗みやすくなると説明した
  • 元GSA Technology Transformation ServicesディレクターのAnn Lewisは、最小権限の原則は高価値データと重要資産へのアクセスを保護し、ユーザーのミスや悪意ある行動を減らす基本的なサイバーセキュリティ概念だと述べた

NLRBの否定とホワイトハウスの立場

  • NLRBのTim Bearese代理報道官は、NLRBはDOGEにシステムアクセスを許可しておらず、DOGEもアクセスを要求していないと述べた
  • Beareseは、Berulisが懸念を提起した後に機関が調査を実施したが、機関システムへの侵害はなかったと判断したと述べた
  • ホワイトハウス報道官Anna Kellyは、Trump大統領がDOGE職員を各機関に採用し、データ共有を調整する大統領令に署名したことは既知の事実だと述べた
    • Kellyは、DOGEチームは行政全体の浪費・詐欺・濫用を除去するため、公然かつ透明に活動してきたと述べた
  • Berulisの公開資料にはフォレンジックデータと同僚との対話記録が含まれ、他の政府機関や民間部門の技術専門家11人がレビューした
  • NPRは政府、民間、労働運動、サイバーセキュリティ、法執行分野の30人超の情報源に接触し、そのうち政府機関・議会の内部運営を直接知る11人は、DOGEによる機密データ持ち出しの可能性に懸念を共有した

労働データ露出の影響

  • NLRB事件管理システムには、進行中の労働事件、労組活動家の一覧、内部事件メモ、Social Security番号や住所などの個人情報、未公開の企業独占データが含まれる
  • 労働法専門家は、DOGEが効率化問題を解決するためにその事件管理データを機関外へ持ち出す正当な理由は見当たらないと述べている
  • Kate Bronfenbrennerは、データにアクセスされたという事実だけでも、労働者がNLRBで証言することをためらうようになる可能性があると懸念した
  • Sharon Blockは、データのコピーが企業に渡れば、労組結成活動をした職員を解雇したり、組織化担当者のブラックリストを作成したりするために悪用されうると述べた
    • こうした行為はNLRBが執行する連邦労働法上、違法である
  • 企業側も被害者になりうる
    • 不当労働行為事件の過程で、企業の内部事業計画、組織構造、営業秘密が調査資料に含まれる可能性がある
    • その情報は競合他社、規制当局、その他の外部者にとって価値がある可能性がある

Musk、SpaceX、利益相反懸念

  • 労働法専門家は、Elon Muskとその企業、元従業員・同僚が政府職とデータアクセス権を得る状況では、利益相反が明白だと見ている
  • TrumpとMuskはFox Newsのインタビューで、Muskは自身の会社に関わる案件では自ら回避すると述べた
  • しかしDOGEは、Muskに利益をもたらしうる多くのデータへの高レベルアクセスを認められており、そのデータの不正利用を防ぐファイアウォールがある証拠はない
  • SpaceXとNLRBの間では進行中の事件が複数ある
    • 元SpaceX従業員がNLRBに申し立てを行った後、SpaceX側の弁護士はNLRBを相手取って訴訟を起こした
    • 彼らはNLRBの構造が違憲だと主張している
  • Harvard LawのSharon Blockは、もしDOGEが実際にすべてのデータを入手していたなら、Muskが自分に対して政府が準備中の事件情報にアクセスしていた可能性があると懸念した
  • サイバーセキュリティ専門家Bruce Schneierは、MuskのxAIがDOGEの収集データをアルゴリズム学習に利用する可能性に懸念を示してきた

他機関で見られた類似パターン

  • 連邦裁判所で進行中の10件超の訴訟で、裁判官はDOGEに対し、Social Security記録、医療記録、税務情報など機密性の高い米国人データへの広範なアクセスがなぜ必要なのか説明するよう求めている
  • Treasury Department支払いシステム事件で、U.S. District Judge Jeannette Vargasは2月21日、DOGEのアクセスを差し止め、機密情報がすでにTreasury外へ共有された現実的可能性があると判断した
  • House Oversight Committeeの民主党少数派スタッフ補佐官は、DOGEが複数機関で不明な目的のために機密性の高い政府データを持ち出したという検証可能な報告を、委員会が複数保有していると述べた
  • CFPBの元CTO Erie Meyerは、DOGE職員がCFPBシステムで「God-tier」アクセスを付与され、監査・イベントログを停止し、内部脅威検知を担当するサイバーセキュリティ専門家を行政休職にしたと述べた
  • Interior Department傘下機関のある職員は、内部脅威アラートが鳴る状況でも、サイバーチームは新規ユーザーアクセスを遮断せず待機するよう指示されたと述べた
  • GSAの元高官46人は3月13日の公開書簡で、高度に機密なITシステムが危険にさらされ、機密情報が検証されていない外部ソースへダウンロードされていると述べた

大統領令と情報共有拡大

  • Trumpは、DOGE職員が連邦庁舎に入ってから数週間後、「情報サイロの除去」を通じたデータ共有拡大を促す大統領令を発した
  • National Security CounselorsのKel McClanahanは、この大統領令はDOGEエンジニアが機密性の高い連邦データにアクセスし結合するための追加的な名分を与えようとする試みに見えると述べた
  • McClanahanは、Privacy Actは50年前、連邦政府が一般市民に関する情報を持ちすぎているという問題に対応して作られたもので、情報サイロには存在理由があると述べた
  • ある元政府関係者は、DOGEが最近もSecurities and Exchange Commissionを含む全国の連邦機関訪問を続けていると認識していると述べた
  • 政府全体でどれほど多くの機密データが取り出され、収集され、結合されたのかは不明である

Berulisの公表と調査要求

  • Berulisは内部調査の試みが阻まれ、自身を沈黙させようとする試みがあったと感じ、公に出ることを決めた
  • 彼の弁護士Andrew Bakajの添付書簡によると、Berulisの自宅のドアには、脅迫的文言、機密性の高い個人情報、ドローンで撮影されたように見える散歩写真を含む印刷物が貼られていた
    • 誰が送ったのかは不明である
    • 法執行機関がその手紙を調査中である
  • Berulisは、CISAやFBIのように、より多くのリソースを持つ機関が疑わしい活動を調査すべきだと見ている
  • NLRBは、Berulisの議会向け公開に端を発する調査に協力すると述べた
  • BerulisはDOGEエンジニアに透明性を求め、隠すことがないならログを削除したり秘密裏に行動したりせず、誤解ならそれを証明してほしいと述べた

1件のコメント

 
GN⁺ 2025-04-16
Hacker Newsの意見
  • この部分が本当に致命的:本物の効率性監査なら、隠れた活動の痕跡を見つけるために多くのアクセス権限が必要になることはあり得るが、自分たちが行ったことの痕跡を隠す必要はまったくない

    一方、公開資料と内部コミュニケーション記録によれば、DOGEチームのメンバーは自分たちの活動がシステムに記録されないよう求め、その後、監視ツールを停止し、アクセス記録を手動で削除するなど、痕跡を覆い隠そうとしたようだ。NPRが取材した複数のサイバーセキュリティ専門家は、こうした回避行動を犯罪ハッカーや国家支援ハッカーが取りそうな行動になぞらえた
    続いて出てきたロシア関連の活動メッセージは偶然か、インターネット上の背景ノイズかもしれないが、彼らが技術的に熟達しておらず、理解していないシステム上で非常に速く動いていることを考えると、何かを意図せず露出させた、あるいは誰かがすでに侵害されていたとしてもまったく驚かない

  • 米国人ではない立場から見ると、まだそうしていないなら、民間企業、セキュリティ研究者、そして一般市民は、米国政府機関をフィッシング犯や詐欺師のように、個人情報とセキュリティ上の脅威として扱い始めるべきだと思う
    政府機関がソフトウェアのバックドアや他のメカニズムで侵害されたなら、その機関がアクセスできるすべてのデータとシステムも同時に侵害されたと見なすべきだ

    • この一連の出来事の目的は、まさにそれのように聞こえる
    • 新自由主義 → 企業主義 → ファシズム/専制政治
      人間は商業化される人的資源でしかない。広告技術はそのまま民間の情報機関になる。人間は人間ではなく、権利もない。新自由主義の洗脳から自分自身と愛する人たちを解放できないなら
  • 残念な現実は、米国人口の半分がNLRBを中小企業への負担と見なしていることだ。政策が頻繁に変わるため、法務リソースが十分でない側にはコンプライアンス費用と複雑さが増すからだ [1]
    そして同じ半分は、npr.orgが言うことを何一つ信じない。この力学を理解してこそ、米国の言論空間の現在の状態が把握できる
    [1] https://edworkforce.house.gov/news/documentsingle.aspx?Docum...

    • NPRは純粋な左派プロパガンダ媒体で、真実を不都合なものと見なす元CIA職員が運営していると思う
    • NPRが今後2年間で予算削減を受けたことへの報復だと主張する人もいるかもしれない
  • 衝撃的ではないが、もっと苛立たしいのは、おそらく何も起こらないだろうという点だ。これが収拾されるという確信はまったくなく、結局いつものようにフェイクニュースだと騒ぐだけで終わりそうだ
    すでにキツネが鶏小屋に入り込んだような感じだ

    • ロシアからStarlink経由で有効なログイン資格情報を使って侵入したというのは、SFに出てきても信じ難いほどだ。この道化たちに比べれば、Reality Winnerが英雄のように見える
    • 政治家が恐れているのは再選に失敗することだけだ。だから有権者が自分の選挙区の代表に責任を問わせることだけが方法だと思う
      自分の州でキャンペーンを始めれば、かなり早く返事をもらえるはずだ。彼らは人気に非常に敏感で、競争が重要だから
  • BSkyでこれを読んだ
    内部告発者の保護開示文書の一部がある
    https://bsky.app/profile/mattjay.com/post/3ln2dgoksce2e
    Elonの社員たちが入り込んで、すべてをコピーしたように見える。ここではNLRBなので機微な資料が多いが、どの政府機関にも機微な資料は膨大にあるはず。そしてそれをどこかへ送ったようだ。その前に、すべてのログ記録と多くのセキュリティ機能をオフにして、痕跡を隠そうとしたように見える
    これは深刻だ。この人たちは、あらゆるものにアクセスできる国家レベルの権限を持った悪意ある行為者のように見える
    しかも若い人員で、セキュリティをきちんと理解していないようであり、プロのロシア国家運営APTにもハッキングされたように見える

  • NxGenBdoorExtractが何なのかを理解しようとすべきだと思う。NxGenはNLRB向けのシステムで、Bdoorはバックドアを強く連想させる
    彼はGitを削除したか、非公開にした。archive.orgでも見つからない

    • あるいは、DogeSA_2d5c3e0446f9@nlrb.microsoft.comに誰がアクセス権を持っているのかも見るべきだ
      https://oversightdemocrats.house.gov/sites/evo-subsites/demo...
    • 逆に、そのリポジトリのスクリーンショットには少し奇妙な点が2つある。まずリポジトリのタイムスタンプは切れているが、項目が逆時系列のように見えるため、そのリポジトリは2021年ごろ、またはそれ以前に存在していたように見える
      所有者が再び公開するか復元すれば、すべての推測を終わらせられる
    • Mission 2という表記が興味深い。DOGEにはMission 1、つまり公に掲げた目的があり、Muskとその部下たちだけが知る隠れたMission 2がある可能性を示唆している
    • archive.todayには2025年2月28日のスナップショットがあるが、その名前のリポジトリは見当たらない
      https://archive.ph/fUa5Q
  • 私の理解している文脈では、DOGEの職員は全員が臨時政府職員で、雇用は6月ごろに期限切れになる。彼らが法律に従うと仮定すれば――かなり大きな仮定だが――Elonや権力者たちを喜ばせるために、ものすごい緊急性で複数の機関をかき回していることになる
    この期限を念頭に置いて、必ず抵抗すべきだ

    • 彼らは強圧的な戦術を使っている。記事によれば、内部告発者は脅迫を受け、SSAでは26年勤務の職員が建物の外へ引きずり出された。IRSでも似たようなことがあった
      DOGEはUS Marshalsと大統領の支援を受けている。抵抗はできるだろうが、結局はアクセスを遮断されるだけだ
  • DOGEの職員が最高レベルのアクセス権を要求し、IT職員がNLRBのセキュリティポリシーに沿って活動追跡が可能な形でアカウントを有効化する簡素化手順を提案したところ、DOGEの邪魔をするなと言われたらしい
    それで実際にログ記録をオフにしたということなのか? どうやるのか分からない。どのアクセス制御システムの話なのか、分かる人はいる?

    • NxGenシステムにはアプリケーションレベルのログ記録があり、DOGEがアプリケーションを経由せずにunderlying storageを読む権限を得たように聞こえる
      ただし記事の後半では、Berulisが実際にオフになっているのを発見した具体的な制御・監視システムもあるという
  • 今後また選挙が行われ、より正常で資格のある人々が就任するなら、司法省は数十年にわたって手に負えないほど忙しくなるだろう

  • 内部告発者とその弁護士がCNNとMSNBCでインタビューを受けた
    CNN: https://www.youtube.com/watch?v=TsqgXfrSksI