1 ポイント 投稿者 GN⁺ 2025-04-23 | 1件のコメント | WhatsAppで共有
  • NLRBのセキュリティアーキテクト Daniel J. Berulis は、Elon Musk の DOGE 要員が3月初旬に機関の事件ファイルから機微データをギガバイト単位で転送し、痕跡がほとんど残らない短期アカウントを使っていたと主張
  • 該当アカウントは NLRB システムの tenant admin 権限で作成され、NxGen 事件管理データの読み取り・コピー・修正が可能で、ログ可視性の制限や削除までできる権限を持っていたという
  • 3月4日未明に機関外向けトラフィックが急増した後、新規アカウントの1つが 約10GB を転送したと把握されたが、Berulis と同僚にはどのファイルがどこへ送られたのか確認する権限がなかった
  • 新しい DOGE アカウント作成後15分以内に、ロシアのインターネットアドレスから有効なアカウント名とパスワードを使ったログイン試行が20回以上発生したが、米国外からのログインを遮断するポリシーによって防がれた
  • NLRB は NPR に侵害はなかったと述べたが、Berulis は Microsoft の警告と内部メールのスクリーンショットを共有し、US-CERT への報告中止後に公表へ踏み切り、その後は管理者権限も制限されたと述べた

NLRB内部告発の核心

  • NLRB のセキュリティアーキテクト Daniel J. Berulis は、4月14日に Senate Select Committee on Intelligence へ内部告発書簡を送付
  • Berulis の核心的主張は、3月3日から約1か月の間に DOGE 関係者が NLRB システムに強力な管理者アカウントを作るよう要求し、それらのアカウントが通常のネットワークログを残さないよう例外扱いされたというもの
  • NLRB は不当労働行為に関する苦情を調査・裁定する小規模な独立連邦機関であり、労組結成を望む従業員の機密情報や企業の独占的情報など 機微データ を保管している

DOGEアカウント作成と権限要求

  • Berulis によれば、3月3日に黒い SUV と警察の護衛を伴った DOGE 職員がワシントン D.C. 南東部の NLRB 本部に到着
  • 彼らは Berulis や NLRB の IT 職員とは話さず、機関の幹部と面会
  • 会議後、NLRB の acting CIO は DOGE アカウント作成で標準運用手順に従わず、DOGE 職員用アカウントのログや記録を作らないよう指示したと Berulis は証言
  • 監査担当者が使える既存ロールはあったが、変更権限や承認なしのサブシステムアクセス権は与えない構造だった
    • Berulis は DOGE 側にそのアカウントを使うよう提案する案は議論の対象にならなかったとしている
  • 新しいアカウントは NLRB データベース情報を読み取り、コピーし、修正できる 無制限の権限 を持っていたという
    • ログ可視性の制限
    • ログ保存の遅延
    • ログを別の場所へルーティング
    • ログ全体の削除
    • Berulis とその上司も持たない最上位権限

コンテナとNxGenデータ転送

  • Berulis は3月3日、DOGE アカウントの1つが コンテナ(container) という不透明な仮想環境を作成したと把握
  • コンテナは、プログラムやスクリプトを外部に活動を見せずにビルド・実行するために使える
  • 同僚の確認では、NLRB ネットワーク内でコンテナが使われた前例はなかったという
  • 翌日の3月4日午前3〜4時ごろ、機関から外へ出るトラフィックが大きく増加
  • Berulis と同僚は数日間の調査の末、新規アカウントの1つが NLRB の NxGen 事件管理システムから約10GBのデータを転送したと判断
    • NxGen データベースには、労組、進行中の法的事件、企業秘密に関する機微情報が含まれる
    • Berulis と同僚には、どのファイルにアクセス・転送が行われたのか、データがどこへ行ったのか確認するためのネットワークアクセス権がなかった
    • Berulis は、データ総量が10GBなのか、送信前にまとめて圧縮されたのかは不明で、さらに多くのデータが流出した可能性があると上院に伝えた
    • NLRB データベースからデータが直接外部へ出ることはほとんどなく、このような急増は非常に異例だったという

ロシアIPログイン試行と不審アカウント

  • Berulis と同僚は、ロシアのインターネットアドレス 83.149.30.186 から DOGE 職員アカウントの有効な認証情報を使ったログイン試行が20回以上発生したことを確認
  • これらの試行は米国外からのログインを禁止するルールにより、すべて遮断された
  • 認証フロー上、ログイン試行者は正しいユーザー名とパスワードを持っていたように見えたと Berulis は述べる
  • とりわけ多くの試行が DOGE エンジニアたちのアカウント作成から15分以内に発生し、より大きな懸念を生んだ
  • 不審活動と結びついた Microsoft ユーザーアカウント名の1つは DogeSA_2d5c3e0446f9@nlrb.microsoft.com で、Berulis はこのアカウントが NLRB のクラウドシステムで DOGE 用に作成され、その後削除された構成だとみている
  • 他の新規 Microsoft クラウド管理者アカウントには、Whitesox, Chicago M.Dancehall, Jamaica R のような標準的でないユーザー名が含まれていた

ログ欠落と外部コードライブラリ

  • 3月5日、Berulis は最近作成されたネットワークリソース関連ログの大部分が消えており、Microsoft Azure の network watcher が “off” に設定され、正常なデータ収集・記録を行っていなかったと文書化
  • また、NLRB や契約業者が使っていない外部コードライブラリ3件が GitHub からダウンロードされた事実も発見
  • コード一式の1つの readme ファイルには、大規模なクラウドのインターネットアドレスプールを通じて接続をローテーションする用途が記されていた
    • そのアドレスプールは、Web スクレイピングとブルートフォースのための “pseudo-infinite IPs” プロキシとして使われるとされていた
    • ブルートフォース攻撃とは、多数の認証情報の組み合わせを高速に自動試行するログイン攻撃のこと

US-CERT報告中止と公表決定

  • Berulis の内部告発によれば、3月17日ごろまでに NLRB は DOGE アカウントの異常活動を完全に調査するためのリソースやネットワークアクセス権をもはや持っていないことが明らかになった
  • 3月24日、機関の associate CIO はこの件を US-CERT に報告すべきだと同意
  • US-CERT は Department of Homeland Security 傘下の CISA が運営し、連邦・州政府機関に現場のサイバー事故対応能力を提供している
  • Berulis は4月3〜4日の間に、自身と associate CIO が US-CERT への報告と調査を中止するよう指示され、正式報告書を作成したり進めたりしないよう命じられたという
  • この時点で Berulis は自らの調査結果を公表することを決めた

NLRBの否定とBerulisの資料

  • NLRB acting press secretary Tim Bearese は NPR に対し、DOGE が NLRB システムへのアクセスを求めたことも受けたこともないと述べた
  • 彼は、Berulis が懸念を提起した後に機関が調査し、「機関システムへの侵害はなかった」と結論づけたと NPR に語った
  • NLRB は KrebsOnSecurity の質問には回答していない
  • Berulis は、DOGE アカウントとみられる説明不能なアカウント活動に関する機関内メールの議論と、その期間に Microsoft が観測したネットワーク異常に関する NLRB のセキュリティ警告スクリーンショットを共有した

NLRBをめぐる別の文脈

  • CNN は先月、Trump 大統領が NLRB 理事3人を解任したことで、機関が機能に必要な定足数を失い、事実上まひ状態になったと報じた
  • CNN は、NLRB が制約にもかかわらず Elon Musk を含む米国内の裕福で強力な人物たちにとって厄介な存在だったと書いている
  • Amazon と Musk の SpaceX は、労働者の権利と労組組織化をめぐる紛争で NLRB が提起した申し立てを受け、NLRB を相手取って訴訟を起こしてきた
    • 両社は NLRB の存在自体が違憲だと主張
    • 3月5日、米連邦控訴裁判所は NLRB の構造が憲法に違反するという Musk 側の主張を全会一致で退けた

内部告発後のアクセス制限

  • Berulis は、NPR が4月14日に自身の主張を報じたその日、NLRB deputy CIO が全職員アカウントから管理者統制が削除されたというメールを送ったと述べた
  • その結果、NLRB の IT 職員はもはや業務を適切に行えなくなったと Berulis は話す
  • 4月16日、NLRB director Lasharn Hamilton の全機関向けメールでは、DOGE 関係者が会議を要請しており、機関が以前に DOGE 要員と「公式」接触を持っていなかったという主張が繰り返されたという
  • 同じメールでは、DOGE の代表2人が数か月間にわたり NLRB にパートタイムで配置されると職員に通知された
  • Berulis は、DOGE アカウントに関する追加情報を求める Microsoft サポートチケットを作成している最中、自身のネットワーク管理者アクセス権が制限されたと述べた
  • 彼は、議員たちがアカウントで実際に何が起きたのかについて Microsoft にさらに多くの情報を求めることを望んでいる

脅迫主張と現在の状況

  • Berulis の弁護士 Andrew P. Bakaj は4月7日、Berulis と法務チームが内部告発文書を準備していた最中、誰かが Berulis の自宅のドアに脅迫メモを貼ったと議員らに伝えた
  • そのメモには、Berulis が近所を歩く様子をドローンで撮影した写真が含まれていたという
  • 弁護士は、その脅迫メモが上院監督機関に提出しようとしていたまさにその開示内容に明確に言及していたと述べた
  • 誰が行ったかは不明だが、弁護士は NLRB システムにアクセスできる誰かが関与した可能性があると推測するにとどめた
  • Berulis は、友人、同僚、大衆の反応は概して支持的であり、公表の決断を後悔していないと語った
  • 現在 Berulis は NLRB で有給の家族休暇を取っており、DOGE 職員が全管理者統制を持ち、全員を締め出したうえで、今後必要に応じて制限付き権限を割り当てると述べたという
  • 追加資料: Berulisの内部告発文書

1件のコメント

 
GN⁺ 2025-04-23
Hacker Newsのコメント
  • 1週間前にも関連する議論が多くありました
    https://news.ycombinator.com/item?id=43691142

    • DOGEが機微なNLRBデータを持ち出した可能性を内部告発者が詳しく明かした投稿 – https://news.ycombinator.com/item?id=43691142
      7日前、1139ポイント、コメント528件
    • この議論が続いているのは幸いです。今の社会には同時に扱うべき大きな流れが4つほどあり、それぞれの深刻度が大きすぎて、一つずつ処理している時間がありません
      1. 法の支配と政治システムの崩壊:行政府が議会を乗っ取り、今はSCOTUSまで侵食しつつあり、二大政党はいずれも死に、MAGAが共和党に取って代わり、民主党は道を見失っています
      2. このスレッドのテーマである、DOGEを通じた連邦政府の破壊
      3. 関税とFed議長の解任を通じて連邦準備制度を掌握し、経済を壊し、米国を事実上の統制経済へ変えていく流れ
      4. 1〜3に抵抗できる権力の拠点である法律事務所や学界など、非政府機関の破壊
  • 関連記事:DOGEがNLRBで作業していた時点の異常な兆候に関する内部告発者の宣誓供述書[pdf] - 16時間前、コメント13件 - https://news.ycombinator.com/item?id=43755298

  • この記事全体がコメディのように読めます。隠しアカウント、ロシアからのログイン試行、さらにこんなくだりまであります
    「BerulisがKrebsOnSecurityに語ったところによると、DOGEアカウントについてさらに情報を求めるためMicrosoftにサポートチケットを作成している最中に、ネットワーク管理者アクセス権が制限された。今では彼は、議員たちがMicrosoftに対し、そのアカウントで実際に何が起きていたのかについて、より多くの情報を要求してくれることを望んでいる」
    なぜMicrosoftが政府機関のログインとアカウント情報を持っているのでしょうか? いっそ地下室に、Windowsもインターネットもないメインフレームを置いたほうがましでしょう

    • 疑いなくOffice365でしょう。WordやOutlookなしで官僚機構を運営するのは難しいです
      フランス/ドイツ政府はこの理由で代替手段に投資中です: https://www.techspot.com/news/107225-france-germany-unveil-d...
    • 「ロシアIP」というのは、その表現を聞いただけでパブロフ的に反応する人たちにもっともらしい否認可能性を与えます。しかし、クレムリンの影響を受けたメンバーが露骨に見える行政府には、今やそのような否認可能性すら必要なさそうです
    • AzureもAWSも、政府をかなり大きなユーザーベースとして抱えているようです。いくつか疑問が湧きます
    • ロシア情報機関がここでかなり露骨に動いた前例があります。おそらく意図的にメッセージを送るためのやり方だったのでしょう
      Guccifer 2.0を思い出すと、そのペルソナはロシアのIPアドレスを使っただけでなく、GRU本部の建物に割り当てられたIPを使っていました
    • Azureクラウドです
  • Edward Coristineは2022年に「社内情報を競合他社に漏えいした疑いでサイバーセキュリティ企業Path Networkを解雇」された人物なので興味深いです [1]。外国の諜報機関が取り込むには理想的な候補に見えます。しかもサイバー犯罪系ソーシャルネットワークのアカウントも使っていました [2]
    いったいどうしてこんな人物が政府の近くで働き続けられるのか分かりません
    [1] https://en.wikipedia.org/wiki/Edward_Coristine
    [2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...

    • 心理戦として見れば見事です。アカウントを作り、記録へのアクセスを試み、成功したかどうかは気にせず、米国のニュースが分断を引き起こすのを待てばよいのです
      ロシアの影響工作の目的の一つは米国の結束を弱めることであり、さまざまな傾向の市民団体広告を支援していた事例でもそれを見ました
      また、米国がウクライナ和平をめぐってロシアと交渉していたまさにその時点でこのようなことが起きたのも不審です。交渉中の政権を困らせ、ロシアとの不和をあおるからです。単純な話ではないかもしれないというシグナルです
      諜報は複雑です
    • Harvard卒業生が別のHarvard卒業生を雇うように、犯罪者は別の犯罪者を雇います
    • 「いったいどうしてこんな人物が政府の近くで働き続けられるのか?」への道筋は長いですが、おおむね次のとおりです
      1. SCOTUSが選挙資金規制をなくし、億万長者が選挙を買えるようにしました
      2. 世界一の富豪であるElon Muskが2024年の米国大統領選を買い、自らを「政府効率化」組織の責任者に据えました
      3. Elon MuskがEdward Coristineを選び、誰も「だめだ」と言いませんでした。反対したであろう人々はすでに解雇されるか排除されており、White Houseの他の人物たちも厳格なFBI身元調査に通るのが難しいため、単に命令で全員に許可を与えている状態です
  • DOGEは今後数年間、興味深いケーススタディになるはず。友人が国家航空システムをゼロから再構築する仕事を手伝わないかと採用の連絡を受けたが、形態はSean Duffyに直接報告する1099契約者だった。
    採用担当者は、夜や週末にやる副業のように紹介していて、時給はひどいものだった。友人が報酬は現在もらっている額よりはるかに低いと言うと、DOGEで働いたという名声が得られる、と言い返された。

    • その名声は、非常に脆弱な通貨のように見える。状況が悪化し続ければ、将来の政権がDOGE職員を相手に独自の報復的な裁判を行う可能性もある。
    • もう一度働きたいなら、履歴書に書けなくなる種類の名声だ。
    • 何かについて何も知らない人がやって来て「予算の半分を節約できる」と言い、やがてまずいと気づいて、当初の約束の5%程度ならできるかもしれないと言い出す、すばらしいケーススタディだ。
      結局DOGEがいくら使うことになるのか気になる。文字どおり数十億ドルではないことを願うし、訴訟費用などを考慮しても1000億〜2000億ドルを節減できるなら、純効果はプラスかもしれない。
    • 国家航空システムのように重要なものを、低賃金の1099契約者が夜と週末に働いて再構築するのは、堅牢で障害に強いシステムを作る方法では絶対にない。ばかげている。
    • Big Fourのコンサルタントに同じことを任せて、費用は10倍、会議は3倍、速度は5倍遅くするほうが名誉あることなのだろうか?
  • この記事が重複として消されるなら残念だ。
    話が2回投稿されたのは確かだ。最初の投稿[0]は約10時間古く、コメントは3件しかない。この記事は執筆時点でコメントが348件ある。興味深い議論を重視するなら、明らかにこちらが中心だ。
    [0] https://news.ycombinator.com/item?id=43758392

    • 変だ。普通、重複検出器は本当によく機能する。自分が記事を投稿すると、10回中9回はすでに存在していて、そちらにリダイレクトされる。
      だから安心して自由に投稿できる。既存の記事に統合されるか、新しい記事が始まるからだ。今回は機能しなかったのか?URLも同じだ。たまに任意のクエリ文字列で重複検出器をだますことはあるが、この場合は本当に同一だ。変だ。
    • そしてまさにそうなった。とんでもない話だ。
  • 「Berulisは3月3日、DOGEアカウントの1つが『コンテナ』という不透明な仮想環境を作成していたことを発見した。これは外部に活動を見せずにプログラムやスクリプトをビルドして実行するために使われ得る。Berulisは同僚に確認したところ、NLRBネットワーク内でコンテナを使ったことのある人は誰もおらず、そのコンテナが目立ったと述べた」
    この部分はいくつもの理由で、読んでいて妙な感じがする。

    • 悪意があるように書かれているが、実際には技術的な無知を露呈している側に近い。
  • これが明らかに反逆の領域に入らないというのは驚きだ。

    • 権力を持つ誰かが実際にその罪で起訴して初めて反逆になる。
    • 遠くから見ると、Trumpはほとんど絶対権力に近づきすぎていて、本来なら実際の結果が伴うべきスキャンダルもただ払いのけられるように見える。Signalスキャンダルで全員が生き残ったことはいまだに理解できない。
    • 「反逆の領域」とは何を指しているのか?漏えいのことか、それとも事件データの吸い上げのことか?
    • 弾劾の試みは失敗し、Trumpに対する法的事件も大半は失敗し、最高裁は彼を追加起訴から免責し、彼は再選された。
      抑制と均衡はすべて使われたが、失敗した。
  • 「ロシアがロシアのIPで米国データにアクセス」
    自分だけかもしれないが、これは誰かがロシアとのつながりを作ろうとしているように聞こえる。なぜロシアの情報機関がこんなに素人じみたことをするのか?まるで捕まりたがっているようだ。Cui bono?

    • パターン上、彼らは捕まることを特に気にしない。目的は特定の任務遂行ではなく、混乱の創出だ。相手がミスをするように刺激するのが好きなのだ。
      そもそもNLRBのデータで何をしようとしているのだろう?アイデアがあるかもしれないし、ないかもしれない。目的は「われわれはあなたのデータを持っていった、だから不安になれ」だ。捕まることもその目的に役立つ。
    • 誰かと結びつけようと努力するまでもなく、全体がすでに十分に怪しい。
      IPを見るとモバイル回線かもしれない。Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFonと出る。
      たとえば契約された個人の1人が何らかの理由でロシアを旅行中で、ログインテストをしようとして自分のホットスポットを使った可能性もある。
      ここで明らかになった無能さのレベルを見れば驚かない。だから内部告発者が必要で、調査が始まるのだ。これから調査がきちんと始まるまで、必要な情報請求のたびに官僚主義と法的争いで何か月も何年も待たなければならないだろう。ものすごくもどかしい。
    • IPアドレスしか言及されていないのに、なぜロシアの情報機関だと仮定するのか?それにそうした機関だったなら、仮想上のshiba-dogeの漏えい者/スパイが、地域制限ファイアウォールがあるという警告をなぜしなかったのか?
      もっともありそうなケースを考えるなら、shiba-dogeの素人の1人のノートPCがウイルスに感染していて、アカウントを作った後、その認証情報が自動的にロシア圏のボットファームに吸い上げられ、そこでボットネットが何度か自動攻撃を開始したものの、地域ファイアウォールに遮られた、というものだ。
    • 捕まりたがっていたのではなく、捕まることを気にしていないように見える。
    • 個人的な仮説にすぎないので完全に間違っているかもしれないが、これは情報ではなく混乱に関することのように見える。
      一般の人には、点と点をつないで結論に到達するだけで十分に見える。ある程度技術を知っている人たちが強力なツールを与えられたが、自分の行動がどんな結果を生むかについて全体的な監督は受けていなかったようだ。
  • この記事はなぜHNのトップページから消えたんだ?2時間前に上がって、649ポイントも獲得していたのに。

    • フラグ処理されたわけではない。シャドウバンか?Hacker Newsにそんなものがあるのか?
    • https://news.ycombinator.com/activeでは最上位の記事だ。
    • 自分もたった今、同じことを気にしていた。
    • Y系のスタートアップの一部が、今ではDOGEやほかの政府活動に関与しているからかもしれない。このウェブサイトの背後にいる人々や思想的リーダーのかなり多くが、テック業界の無政府資本主義イデオロギーが実行に移されるうえで影響を与えたことは覚えておくべきだ。
    • HNでは記事が「flamebait」のようなものとしてフラグされることがある。正確な用語は覚えていないが、手動でも可能だし自動化もあるようで、モデレーターが手動で解除することもできる。
      望ましくない会話を引き起こすリスクがあるため、記事は事実上、虚空へ送られる。