DOGEエンジニアのコードがNLRB内部告発者の主張を裏付け

 (krebsonsecurity.com)
2 ポイント 投稿者 GN⁺ 2025-04-24 | 1件のコメント | WhatsAppで共有
  • NLRBの内部告発者は、Elon Musk傘下のDOGE部門が機微な労働紛争データを10GB超、無断でダウンロードしたと主張
  • DOGEアカウントは管理者権限でログ監視を回避し、外部のGitHubコード3件をダウンロードしており、このうち1件にはWebスクレイピングとブルートフォース攻撃に使われるIPローテーション技術が含まれていた
  • 中核スタッフのMarko Elezはこの技術の最新版をGitHubにアップロードしており、過去には情報セキュリティ規則違反や物議を醸す発言で問題視された人物
  • 別のダウンロード済みコードには、APIリバースエンジニアリングツール Integuru自動化ブラウザ Browserlessが含まれる
  • Elezのコード品質はGitHubで厳しく批判され、その後当該リポジトリは削除された

DOGEアカウントによる機微情報へのアクセス

  • 内部告発者のDaniel J. Berulisは、DOGE職員が3月3日にNLRBへ**最上位権限の管理者アカウント(tenant admin)**の作成を要求したと主張
  • これらのアカウントはあらゆるネットワークログ監視の対象外で、データの読み取り/コピー/改変およびログ改ざんが可能だった
  • Berulisとその上司にはこうした権限がなかったにもかかわらず、DOGEはそれを取得した

GitHubコードのダウンロードとIPローテーションツール

  • DOGEアカウントは外部GitHubリポジトリ3件をダウンロードしており、そのうち1件は**「pseudo-infinite IPs」を生成するライブラリ**だった
  • このライブラリはWebスクレイピングブルートフォースによるログイン試行に利用される
  • このコードはGitHubユーザーGe0rg3が作成したrequests-ip-rotatorから派生したもので、Marko Elezがこれを基にasync-ip-rotatorを2025年1月に作成した

Marko Elezとその論争

  • Marko ElezはX、SpaceX、xAIなどMuskの複数企業の出身で、現在は労働省所属として複数の政府機関に派遣されている
  • 過去に財務省勤務中、機微情報の流出で問題となり、人種差別的発言を巡る騒動の後に解雇されたが、その後復職した
  • Politicoは、Elezが過去に最高レベルのセキュリティポリシー違反を犯したと報じた

追加でダウンロードされたコードとセキュリティ論争

  • 追加でダウンロードされたGitHubリポジトリは以下の通り:
    • Integuru: WebサイトAPIをリバースエンジニアリングするフレームワーク
    • Browserless: ブラウザプールを活用したWeb自動化ツール
  • GitHubユーザーはasync-ip-rotatorの安全性と拡張性に深刻な問題があると指摘
    • 「本番レベルのシステムでこのコードが使われているなら、直ちにセキュリティ監査を受けるべきだ」と評された

NLRBの機能停止と政治的背景

  • トランプ大統領はNLRB委員3人を解任し、機関の機能を事実上まひさせた
  • 現在、AmazonSpaceXはNLRBが違憲だと主張して係争中だが、3月5日に控訴裁判所はこれを退けた
  • Berulisは、このデータ流出が特定企業に労働紛争で不当な優位性を与え得ると警告
    • 「労組オーガナイザーを特定した後、解雇が可能になる」

関連記事

1件のコメント

 
GN⁺ 2025-04-24
Hacker Newsの意見

  • Ge0rg3のコードは「オープンソース」であり、誰でも非商用で複製・再利用できる

    • このコードから派生した新しいバージョン「async-ip-rotator」が、2025年1月にDOGEのMarko ElezによってGitHubにコミットされた
    • 元のコードとほぼ同一だが、コメントが削除され、少しのasyncが追加されるなど軽微な変更がある
    • しかし元のGPL3ライセンスが消えている
    • DOGEの人々がこれを理解または尊重すると期待するのは難しい

  • 内部告発者Daniel J. Berulisの苦情によれば、2025年3月11日ごろ、NxGenメトリクスが異常な使用を示していた

    • DOGEがNLRBシステムにアクセスした後、ロシアの沿海地方(Primorskiy Krai)にIPアドレスを持つユーザーがログイン試行を開始した
    • これらの試行はブロックされたが、特に警戒すべきものだった
    • DOGE関連の活動に使われた新規作成アカウントの1つを使ってログインを試みており、認証フローが遮断された理由は国外ログインポリシーによるものだった
    • このようなログイン試行は20回以上発生しており、特に懸念されるのは、多くの試行がDOGEエンジニアによってアカウントが作成されてから15分以内に発生していたことだ

  • DOGE職員がアクセスしてはならないデータにアクセスした

    • DOGEが巨大な権限を持つアカウントにアクセスし、10GBのデータをダウンロードした可能性がある
    • このデータを違法に利用した可能性がある
    • POTUSがそのようなアクセスを許可できるかどうかは不明である

  • DOGE職員がAWSのIPアドレスプールを使って制限を回避できるコードをダウンロードした

    • コードの書き方がまずい
    • 人種差別主義者である可能性がある

  • DOGE職員がAWSの「無制限」のIPアドレスを使ってWebページを自動スクレイピングし、内部NLRBデータベースから機密データをコピーすることで、どのように利益を得られたのか疑問である

    • 10,000のセッションが同時にデータベースで認証し、データをスクレイピングしたのか疑問である
    • 外部IPから極めて機微なデータにアクセスでき、単一アカウントが10,000回ログインしてデータをスクレイピングできるシステムがあるなら問題だ

  • Marko Elezのコードに対する批判がGitHubの「issues」ページに投稿された

    • コードは「安全でなく、スケールせず、根本的なエンジニアリングの失敗」と評価された
    • この批判はAIが生成したように見える

  • TeslaとSpace-XのCEOがスクリプトキディを雇ったという主張がある

  • 誰かがこの件で刑務所に行くべきだという主張がある

    • これは単なる誤解ではなく、すべてのアメリカ市民に対する意図的な攻撃である

  • GitHubで公開されたパッケージについて批判している

    • 非公開にできることを知らないように見える

  • 政府データベースに対する追跡不能で完全なアクセスが懸念されている

  • Berulisは、上司たちがUS-CERTに報告するなと言ったため公表したと主張している

    • この主張が事実なら、上司たちがこれを秘密にしておこうとした動機は何なのか疑問である
    • 連邦政府の他の部分も同じ脅威アクターによって脆弱である可能性がある
    • 上司たちがより適切な経路でセキュリティ危機を報告したのか、それとも完全に黙殺しようとしていたのか疑問である