- NLRBのセキュリティアーキテクト Daniel J. Berulis は、Elon Musk の DOGE 要員が3月初旬に機関の事件ファイルから機微データをギガバイト単位で転送し、痕跡がほとんど残らない短期アカウントを使っていたと主張
- 該当アカウントは NLRB システムの tenant admin 権限で作成され、NxGen 事件管理データの読み取り・コピー・修正が可能で、ログ可視性の制限や削除までできる権限を持っていたという
- 3月4日未明に機関外向けトラフィックが急増した後、新規アカウントの1つが 約10GB を転送したと把握されたが、Berulis と同僚にはどのファイルがどこへ送られたのか確認する権限がなかった
- 新しい DOGE アカウント作成後15分以内に、ロシアのインターネットアドレスから有効なアカウント名とパスワードを使ったログイン試行が20回以上発生したが、米国外からのログインを遮断するポリシーによって防がれた
- NLRB は NPR に侵害はなかったと述べたが、Berulis は Microsoft の警告と内部メールのスクリーンショットを共有し、US-CERT への報告中止後に公表へ踏み切り、その後は管理者権限も制限されたと述べた
NLRB内部告発の核心
- NLRB のセキュリティアーキテクト Daniel J. Berulis は、4月14日に Senate Select Committee on Intelligence へ内部告発書簡を送付
- Berulis の核心的主張は、3月3日から約1か月の間に DOGE 関係者が NLRB システムに強力な管理者アカウントを作るよう要求し、それらのアカウントが通常のネットワークログを残さないよう例外扱いされたというもの
- NLRB は不当労働行為に関する苦情を調査・裁定する小規模な独立連邦機関であり、労組結成を望む従業員の機密情報や企業の独占的情報など 機微データ を保管している
DOGEアカウント作成と権限要求
- Berulis によれば、3月3日に黒い SUV と警察の護衛を伴った DOGE 職員がワシントン D.C. 南東部の NLRB 本部に到着
- 彼らは Berulis や NLRB の IT 職員とは話さず、機関の幹部と面会
- 会議後、NLRB の acting CIO は DOGE アカウント作成で標準運用手順に従わず、DOGE 職員用アカウントのログや記録を作らないよう指示したと Berulis は証言
- 監査担当者が使える既存ロールはあったが、変更権限や承認なしのサブシステムアクセス権は与えない構造だった
- Berulis は DOGE 側にそのアカウントを使うよう提案する案は議論の対象にならなかったとしている
- 新しいアカウントは NLRB データベース情報を読み取り、コピーし、修正できる 無制限の権限 を持っていたという
- ログ可視性の制限
- ログ保存の遅延
- ログを別の場所へルーティング
- ログ全体の削除
- Berulis とその上司も持たない最上位権限
コンテナとNxGenデータ転送
- Berulis は3月3日、DOGE アカウントの1つが コンテナ(container) という不透明な仮想環境を作成したと把握
- コンテナは、プログラムやスクリプトを外部に活動を見せずにビルド・実行するために使える
- 同僚の確認では、NLRB ネットワーク内でコンテナが使われた前例はなかったという
- 翌日の3月4日午前3〜4時ごろ、機関から外へ出るトラフィックが大きく増加
- Berulis と同僚は数日間の調査の末、新規アカウントの1つが NLRB の NxGen 事件管理システムから約10GBのデータを転送したと判断
- NxGen データベースには、労組、進行中の法的事件、企業秘密に関する機微情報が含まれる
- Berulis と同僚には、どのファイルにアクセス・転送が行われたのか、データがどこへ行ったのか確認するためのネットワークアクセス権がなかった
- Berulis は、データ総量が10GBなのか、送信前にまとめて圧縮されたのかは不明で、さらに多くのデータが流出した可能性があると上院に伝えた
- NLRB データベースからデータが直接外部へ出ることはほとんどなく、このような急増は非常に異例だったという
ロシアIPログイン試行と不審アカウント
- Berulis と同僚は、ロシアのインターネットアドレス 83.149.30.186 から DOGE 職員アカウントの有効な認証情報を使ったログイン試行が20回以上発生したことを確認
- これらの試行は米国外からのログインを禁止するルールにより、すべて遮断された
- 認証フロー上、ログイン試行者は正しいユーザー名とパスワードを持っていたように見えたと Berulis は述べる
- とりわけ多くの試行が DOGE エンジニアたちのアカウント作成から15分以内に発生し、より大きな懸念を生んだ
- 不審活動と結びついた Microsoft ユーザーアカウント名の1つは DogeSA_2d5c3e0446f9@nlrb.microsoft.com で、Berulis はこのアカウントが NLRB のクラウドシステムで DOGE 用に作成され、その後削除された構成だとみている
- 他の新規 Microsoft クラウド管理者アカウントには、Whitesox, Chicago M.、Dancehall, Jamaica R のような標準的でないユーザー名が含まれていた
ログ欠落と外部コードライブラリ
- 3月5日、Berulis は最近作成されたネットワークリソース関連ログの大部分が消えており、Microsoft Azure の network watcher が “off” に設定され、正常なデータ収集・記録を行っていなかったと文書化
- また、NLRB や契約業者が使っていない外部コードライブラリ3件が GitHub からダウンロードされた事実も発見
- コード一式の1つの readme ファイルには、大規模なクラウドのインターネットアドレスプールを通じて接続をローテーションする用途が記されていた
- そのアドレスプールは、Web スクレイピングとブルートフォースのための “pseudo-infinite IPs” プロキシとして使われるとされていた
- ブルートフォース攻撃とは、多数の認証情報の組み合わせを高速に自動試行するログイン攻撃のこと
US-CERT報告中止と公表決定
- Berulis の内部告発によれば、3月17日ごろまでに NLRB は DOGE アカウントの異常活動を完全に調査するためのリソースやネットワークアクセス権をもはや持っていないことが明らかになった
- 3月24日、機関の associate CIO はこの件を US-CERT に報告すべきだと同意
- US-CERT は Department of Homeland Security 傘下の CISA が運営し、連邦・州政府機関に現場のサイバー事故対応能力を提供している
- Berulis は4月3〜4日の間に、自身と associate CIO が US-CERT への報告と調査を中止するよう指示され、正式報告書を作成したり進めたりしないよう命じられたという
- この時点で Berulis は自らの調査結果を公表することを決めた
NLRBの否定とBerulisの資料
- NLRB acting press secretary Tim Bearese は NPR に対し、DOGE が NLRB システムへのアクセスを求めたことも受けたこともないと述べた
- 彼は、Berulis が懸念を提起した後に機関が調査し、「機関システムへの侵害はなかった」と結論づけたと NPR に語った
- NLRB は KrebsOnSecurity の質問には回答していない
- Berulis は、DOGE アカウントとみられる説明不能なアカウント活動に関する機関内メールの議論と、その期間に Microsoft が観測したネットワーク異常に関する NLRB のセキュリティ警告スクリーンショットを共有した
NLRBをめぐる別の文脈
- CNN は先月、Trump 大統領が NLRB 理事3人を解任したことで、機関が機能に必要な定足数を失い、事実上まひ状態になったと報じた
- CNN は、NLRB が制約にもかかわらず Elon Musk を含む米国内の裕福で強力な人物たちにとって厄介な存在だったと書いている
- Amazon と Musk の SpaceX は、労働者の権利と労組組織化をめぐる紛争で NLRB が提起した申し立てを受け、NLRB を相手取って訴訟を起こしてきた
- 両社は NLRB の存在自体が違憲だと主張
- 3月5日、米連邦控訴裁判所は NLRB の構造が憲法に違反するという Musk 側の主張を全会一致で退けた
内部告発後のアクセス制限
- Berulis は、NPR が4月14日に自身の主張を報じたその日、NLRB deputy CIO が全職員アカウントから管理者統制が削除されたというメールを送ったと述べた
- その結果、NLRB の IT 職員はもはや業務を適切に行えなくなったと Berulis は話す
- 4月16日、NLRB director Lasharn Hamilton の全機関向けメールでは、DOGE 関係者が会議を要請しており、機関が以前に DOGE 要員と「公式」接触を持っていなかったという主張が繰り返されたという
- 同じメールでは、DOGE の代表2人が数か月間にわたり NLRB にパートタイムで配置されると職員に通知された
- Berulis は、DOGE アカウントに関する追加情報を求める Microsoft サポートチケットを作成している最中、自身のネットワーク管理者アクセス権が制限されたと述べた
- 彼は、議員たちがアカウントで実際に何が起きたのかについて Microsoft にさらに多くの情報を求めることを望んでいる
脅迫主張と現在の状況
- Berulis の弁護士 Andrew P. Bakaj は4月7日、Berulis と法務チームが内部告発文書を準備していた最中、誰かが Berulis の自宅のドアに脅迫メモを貼ったと議員らに伝えた
- そのメモには、Berulis が近所を歩く様子をドローンで撮影した写真が含まれていたという
- 弁護士は、その脅迫メモが上院監督機関に提出しようとしていたまさにその開示内容に明確に言及していたと述べた
- 誰が行ったかは不明だが、弁護士は NLRB システムにアクセスできる誰かが関与した可能性があると推測するにとどめた
- Berulis は、友人、同僚、大衆の反応は概して支持的であり、公表の決断を後悔していないと語った
- 現在 Berulis は NLRB で有給の家族休暇を取っており、DOGE 職員が全管理者統制を持ち、全員を締め出したうえで、今後必要に応じて制限付き権限を割り当てると述べたという
- 追加資料: Berulisの内部告発文書
1件のコメント
Hacker Newsのコメント
1週間前にも関連する議論が多くありました
https://news.ycombinator.com/item?id=43691142
7日前、1139ポイント、コメント528件
関連記事:DOGEがNLRBで作業していた時点の異常な兆候に関する内部告発者の宣誓供述書[pdf] - 16時間前、コメント13件 - https://news.ycombinator.com/item?id=43755298
この記事全体がコメディのように読めます。隠しアカウント、ロシアからのログイン試行、さらにこんなくだりまであります
「BerulisがKrebsOnSecurityに語ったところによると、DOGEアカウントについてさらに情報を求めるためMicrosoftにサポートチケットを作成している最中に、ネットワーク管理者アクセス権が制限された。今では彼は、議員たちがMicrosoftに対し、そのアカウントで実際に何が起きていたのかについて、より多くの情報を要求してくれることを望んでいる」
なぜMicrosoftが政府機関のログインとアカウント情報を持っているのでしょうか? いっそ地下室に、Windowsもインターネットもないメインフレームを置いたほうがましでしょう
フランス/ドイツ政府はこの理由で代替手段に投資中です: https://www.techspot.com/news/107225-france-germany-unveil-d...
Guccifer 2.0を思い出すと、そのペルソナはロシアのIPアドレスを使っただけでなく、GRU本部の建物に割り当てられたIPを使っていました
Edward Coristineは2022年に「社内情報を競合他社に漏えいした疑いでサイバーセキュリティ企業Path Networkを解雇」された人物なので興味深いです [1]。外国の諜報機関が取り込むには理想的な候補に見えます。しかもサイバー犯罪系ソーシャルネットワークのアカウントも使っていました [2]
いったいどうしてこんな人物が政府の近くで働き続けられるのか分かりません
[1] https://en.wikipedia.org/wiki/Edward_Coristine
[2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...
ロシアの影響工作の目的の一つは米国の結束を弱めることであり、さまざまな傾向の市民団体広告を支援していた事例でもそれを見ました
また、米国がウクライナ和平をめぐってロシアと交渉していたまさにその時点でこのようなことが起きたのも不審です。交渉中の政権を困らせ、ロシアとの不和をあおるからです。単純な話ではないかもしれないというシグナルです
諜報は複雑です
DOGEは今後数年間、興味深いケーススタディになるはず。友人が国家航空システムをゼロから再構築する仕事を手伝わないかと採用の連絡を受けたが、形態はSean Duffyに直接報告する1099契約者だった。
採用担当者は、夜や週末にやる副業のように紹介していて、時給はひどいものだった。友人が報酬は現在もらっている額よりはるかに低いと言うと、DOGEで働いたという名声が得られる、と言い返された。
結局DOGEがいくら使うことになるのか気になる。文字どおり数十億ドルではないことを願うし、訴訟費用などを考慮しても1000億〜2000億ドルを節減できるなら、純効果はプラスかもしれない。
この記事が重複として消されるなら残念だ。
話が2回投稿されたのは確かだ。最初の投稿[0]は約10時間古く、コメントは3件しかない。この記事は執筆時点でコメントが348件ある。興味深い議論を重視するなら、明らかにこちらが中心だ。
[0] https://news.ycombinator.com/item?id=43758392
だから安心して自由に投稿できる。既存の記事に統合されるか、新しい記事が始まるからだ。今回は機能しなかったのか?URLも同じだ。たまに任意のクエリ文字列で重複検出器をだますことはあるが、この場合は本当に同一だ。変だ。
「Berulisは3月3日、DOGEアカウントの1つが『コンテナ』という不透明な仮想環境を作成していたことを発見した。これは外部に活動を見せずにプログラムやスクリプトをビルドして実行するために使われ得る。Berulisは同僚に確認したところ、NLRBネットワーク内でコンテナを使ったことのある人は誰もおらず、そのコンテナが目立ったと述べた」
この部分はいくつもの理由で、読んでいて妙な感じがする。
これが明らかに反逆の領域に入らないというのは驚きだ。
抑制と均衡はすべて使われたが、失敗した。
「ロシアがロシアのIPで米国データにアクセス」
自分だけかもしれないが、これは誰かがロシアとのつながりを作ろうとしているように聞こえる。なぜロシアの情報機関がこんなに素人じみたことをするのか?まるで捕まりたがっているようだ。Cui bono?
そもそもNLRBのデータで何をしようとしているのだろう?アイデアがあるかもしれないし、ないかもしれない。目的は「われわれはあなたのデータを持っていった、だから不安になれ」だ。捕まることもその目的に役立つ。
IPを見るとモバイル回線かもしれない。Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFonと出る。
たとえば契約された個人の1人が何らかの理由でロシアを旅行中で、ログインテストをしようとして自分のホットスポットを使った可能性もある。
ここで明らかになった無能さのレベルを見れば驚かない。だから内部告発者が必要で、調査が始まるのだ。これから調査がきちんと始まるまで、必要な情報請求のたびに官僚主義と法的争いで何か月も何年も待たなければならないだろう。ものすごくもどかしい。
もっともありそうなケースを考えるなら、shiba-dogeの素人の1人のノートPCがウイルスに感染していて、アカウントを作った後、その認証情報が自動的にロシア圏のボットファームに吸い上げられ、そこでボットネットが何度か自動攻撃を開始したものの、地域ファイアウォールに遮られた、というものだ。
一般の人には、点と点をつないで結論に到達するだけで十分に見える。ある程度技術を知っている人たちが強力なツールを与えられたが、自分の行動がどんな結果を生むかについて全体的な監督は受けていなかったようだ。
この記事はなぜHNのトップページから消えたんだ?2時間前に上がって、649ポイントも獲得していたのに。
望ましくない会話を引き起こすリスクがあるため、記事は事実上、虚空へ送られる。