2 ポイント 投稿者 GN⁺ 2025-04-24 | 1件のコメント | WhatsAppで共有
  • NLRBのセキュリティアーキテクト Daniel J. Berulis は、DOGEアカウントが3月初旬に機密性の高い事件ファイルから10GB超のデータを持ち出したと主張しており、ダウンロードされたGitHubコード束の1つがDOGE職員 Marko Elez のコードと非常によく似ていることが確認された
  • DOGE向けに作成されたアカウントはtenant admin権限を持ち、ネットワークログの例外設定を求められており、データへのアクセス・コピー・変更に加え、ログ可視性の制限まで可能な水準だったと Berulis は主張している
  • 問題のコード説明は、AWS API Gateway の大規模なIPプールで「pseudo-infinite IPs」を作り、Webスクレイピングやブルートフォースに使う内容で、GitHub の requests-ip-rotator および Elez が 2025年1月に fork した async-ip-rotator と結び付けられている
  • あわせてダウンロードされた GitHub アーカイブには、WebサイトAPIのリバースエンジニアリングツール Integuru と、Web作業自動化向けのヘッドレスブラウザ Browserless も含まれており、いずれもスクレイピング・自動化の文脈と一致している
  • NLRBの事件ファイルには労組結成を望む従業員情報や企業の専有文書が含まれており、Berulis は、このデータが企業に渡れば進行中の労働紛争で被告側に不公正な優位を与えかねないと懸念している

NLRB内部告発者の主張

  • NLRBのセキュリティアーキテクト Daniel J. Berulis は、DOGE関係者が3月初旬に同機関の機密性の高い事件ファイルからギガバイト単位のデータを持ち出したと主張している
  • Berulis の内部告発文書によれば、DOGE関係者は3月3日にNLRB幹部と面会し、複数の強力なtenant admin アカウントの作成を要求した
    • これらのアカウントは、通常は詳細な活動記録を残すネットワークログの対象外にするよう求められた
    • 新しいDOGEアカウントは、NLRBデータベース内の情報を読み取り、コピーし、変更できる無制限の権限を持っていたという
    • ログの可視性を制限したり、保存を遅らせたり、ログを別の場所に送ったり、完全に削除したりすることも可能な権限だったという
  • Berulis は、自分や上司ですら持っていない最上位のユーザー権限がDOGEアカウントに付与されたと主張している

GitHubコードのダウンロードとIPローテーションツール

  • Berulis は、DOGEアカウントの1つが、NLRBや委託業者が使用したことのない外部のGitHubコードライブラリ3件をダウンロードした事実を発見したという
  • そのうち1つのコード束の README には、AWS API Gateway の大規模なIPプールをプロキシのように使って、Webスクレイピングやブルートフォースのための「pseudo-infinite IPs」を作ると説明されている
  • 同じ説明文を検索すると、GitHubユーザー Ge0rg3requests-ip-rotator リポジトリが見つかり、このライブラリはIPベースのリクエスト制限を回避できると紹介されている
  • 該当の説明は、「AWS API Gatewayの large IP pool をプロキシとして活用し、Webスクレイピングとブルートフォーシングのための pseudo-infinite IPs を生成する Python library」という内容である
  • Ge0rg3 のコードは、誰でも非商用で複製・再利用できるオープンソースコードとして紹介されている

Marko Elez の async-ip-rotator とのつながり

  • Ge0rg3 の requests-ip-rotator から派生した新プロジェクト async-ip-rotator があり、DOGE職員 Marko Elez が 2025年1月に GitHub にコミットしている
  • 内部告発者がDOGEユーザーがダウンロードしたと明かした GitHub ファイルの README 文言は、Elez の fork ベースのコードと同じ説明を共有している
  • Elez は、Treasury Department の中央支払いシステムにアクセスした主要なDOGE人員の1人として紹介されている
    • 彼は XSpaceXxAI など複数の Musk 系企業で働いた経歴がある
    • The Wall Street Journal は、Elez を人種差別と優生思想を擁護したソーシャルメディア投稿と結び付けている
    • Elez は論争の後に辞任したが、Donald Trump 大統領と JD Vance 副大統領の支持を受けて再雇用された
  • Politico によれば、Elez は現在 Labor Department の補佐官として複数機関に派遣されており、その中には Department of Health and Human Services も含まれる
  • Politico は裁判所提出資料を引用し、Elez が Treasury 在職初期に氏名と支払い情報を含むスプレッドシートを General Services Administration 関係者に送り、情報セキュリティ方針に違反したと伝えている

あわせてダウンロードされた他のツール

  • Berulis は、DOGE職員がNLRBシステムにダウンロードした他の2つの GitHub アーカイブとして InteguruBrowserless を挙げている
  • Integuru は、Webサイトがデータ取得に使うアプリケーションプログラミングインターフェース(API)をリバースエンジニアリングするために設計されたソフトウェアフレームワークである
  • Browserless は、Webベースの作業自動化のためのヘッドレスブラウザである
    • Webスクレイピング
    • 自動テスト
    • 複数のブラウザプールを必要とする作業に使用できる

コード品質への批判とリポジトリ削除

  • 2月6日、何者かが Elez の async-ip-rotator GitHub issues ページに長文の批判を投稿し、このコードを「insecure, unscalable and a fundamental engineering failure」と呼んだ
  • その批判は、このコードが単なるサイドプロジェクトなら悪いコードで済むが、機密データを扱う環境に類似の実装がデプロイされていたなら直ちに監査すべきだと指摘した
  • 記事公開後、Elez のコードリポジトリは削除された
  • 削除されたリポジトリのアーカイブ版は こちら に残っている

NLRBデータの機密性と労働紛争への影響

  • Berulis の内部告発文書は、DOGEアカウントがNLRB事件ファイルデータベースから10GB超をダウンロードしたと主張している
  • このデータベースには、労組結成を望む従業員に関する情報や企業の専有ビジネス文書など、機密性の高い記録が大量に含まれている
  • Berulis は、上司たちが以前の合意に反してこの件をUS-CERTに報告しないよう求めたため、公に出たと述べている
  • 無断のデータ転送が事実であれば、NLRBに係属中の複数の労働紛争で被告側に不公正な優位を与えかねないと Berulis は懸念している
    • どの企業であっても事件データを入手すれば不公正な優位を持つことになると述べている
    • 企業が従業員や労組組織者を特定し、理由を明かさないまま解雇できると述べている

NLRBをめぐる法的状況

  • NLRBは、Trump 大統領が理事3人を解任した後、機能に必要なquorumを失い、事実上制約を受けた状態にある
  • Amazon と Musk の SpaceX は、労働者の権利と労組組織化をめぐる紛争でNLRBが提起した complaint をめぐり、NLRBを相手取って訴訟を進めている
  • 両社は、NLRBの存在自体が違憲だという趣旨の主張を行っている
  • 3月5日、米連邦控訴裁判所は、NLRBの構造が憲法に違反するという Musk 側の主張を全員一致で退けた
  • KrebsOnSecurity は NLRB と DOGE の双方にコメントを求めており、返答があれば更新するとしている

1件のコメント

 
GN⁺ 2025-04-24
Hacker Newsのコメント
  • Ge0rg3のコードは、誰でも非商用でコピー・再利用できるという意味でオープンソースであり、2025年1月にDOGEのMarko ElezがGitHubに上げた「async-ip-rotator」は、このコードから派生したフォークに見える
    元のコード: https://github.com/Ge0rg3/requests-ip-rotator
    フォーク: https://github.com/markoelez/async-ip-rotator
    コードはほぼ同じで、コメントだけを削除したうえでasyncを少し散りばめ、細かく変えた程度なので、LLMに貼り付けて非同期に変えてくれと頼んだように見える。ところが元のGPL3ライセンスが消えており、DOGEの人たちが理解したり尊重したりしそうなことではなさそうだ

    • リポジトリは削除され、アカウントから他のリポジトリ26件も消えている。DOGEのメンバーが注目を浴びるとすぐデータを消すパターンと一致しているように見え、以前の別の「10代ハッカー」の事例でも似たことがあった
      アーカイブされたリポジトリページ: https://archive.ph/LI7tt; 以前のリポジトリ数のアーカイブ: https://archive.ph/tgkg5
      0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
    • 2月6日、誰かがasync-ip-rotatorのGitHub IssueでElezのコードを長く詳細に批判し、「安全ではなく、スケール不能で、根本的なエンジニアリング上の失敗」だと書いていた
      「サイドプロジェクトなら単に悪いコードで済むが、これが本番システムを作るやり方だとすれば、はるかに大きな懸念がある。この実装は根本的に壊れており、機微データを扱う環境に似たものがデプロイされていたなら、直ちに監査すべきだ」という内容だった
    • フォークはいま非公開化されたか削除されたようだ。消える前にクローンしていた人がいるのか気になる
    • GPLv3はライセンスを維持する必要があるため、元リポジトリの所有者かGitHubに通報できそうだ
    • GitHubに上げた部分は微妙だ。GPL3ライセンスを維持しなければならないのは再配布時だが、GitHubリポジトリに入れることが少なくとも道義的に再配布なのかは曖昧だ
      個人用コピーからライセンスを消すことはライセンス条件上まったく可能で、それを非公開のGitHubリポジトリに上げるのも問題ない。だが、無料の非公開リポジトリ制限などの理由で、配布する意図なく公開リポジトリに上げた場合にどうなるのかは曖昧だ
  • 内部告発の中では、この部分のほうがはるかに深刻に見える
    2025年3月11日ごろ、NxGenの指標で前週の特定時点に異常な利用が現れ、ベースラインを大きく上回る応答時間と、過去のどの時点よりも高いネットワーク出力の増加が見られたという。これはデータ流出イベントとほぼ重なっており、海外ログインであるためアクセス方針によりブロックされたログインも増えていた
    たとえばDOGEがNLRBシステムにアクセスした数日後、ロシアのPrimorskiy KraiのIPアドレスを持つユーザーがログインを試み始め、試行はブロックされたものの、特に懸念されるものだったという。そのログインにはDOGE関連活動で使われた新規アカウントの1つが使われ、認証フローが海外ログイン遮断ポリシーのところでだけ止まっていたことから、正しいユーザー名とパスワードを持っていたように見える。このような試行は20回を超え、その多くがDOGEのエンジニアがアカウントを作成してから15分以内に発生していた点が特に懸念される

    • 最も好意的に解釈すれば、ロシア側がDOGEのPCにキーロガーを仕込み、DOGEが安全でない公開ネットワークで作業していた、という程度だろう
      最悪の解釈はもっと単純だ。彼らがロシアの工作員として働き、ロシアを侵入させたか、ロシアのためにキーロガーをインストールしたということだ
    • 記事は、GitHubで見つかったスクレイピングソフトウェアの出来が悪いという下のほうのあまり意味のない段落よりも、この核心的な発見を要約すべきだった
      DOGEの人員が複数のクラウドIPアドレスを使ってスクレイピングしていたことを強く示唆する証拠だ
    • 「海外ログイン禁止」のブロックが、なぜログイン資格情報を確認した後でようやく発生するのか疑問だ。より合理的には、その前にブロックされるべきだと思う
    • 本当にロシア人なら、なぜロシアからログインを試みたのか不思議だ。米国の住宅用IPを使うVPNは非常に安い
    • Primorskiy Kraiから接続したのだとすれば、本当だとしてもかなり予想外の場所だ。必ずしも偽装という意味ではないが、よくあることでもなく、あまり筋が通らない
  • 内部告発によると、DOGE関係者は3月3日にNLRB幹部と会い、そのアカウントのすべての活動を詳細に記録するネットワークロギングから除外される、全権限を持つ**「tenant admin」アカウント**を複数作るよう求めたという
    オッカムの剃刀で考えるとかなり明白な状況に見えるが、こうした要求に正当な理由があり得るのか疑問だ

    • さらに悪いのは、DOGEアカウントの1つが作成されてから約15分後、ロシアから正しいパスワードでログイン試行があったという内部告発者のより詳細な内容だ。DOGEに有利に見える説明は多くない
    • すべての権限を持つ「tenant admin」アカウントがネットワークロギングの例外になる機能をソフトウェアシステムに入れるのが普通なのか疑問だ。特に監査可能性に大きく依存するシステムなら、なおさらおかしい
    • 正当な理由はない。このため、MuskのDOGE側が見つけたと主張するものを額面どおりに受け取ることはできない
      監査記録がないので、発見内容を捏造していないという証拠も提示できない。次に170歳の老人が社会保障小切手を受け取っていると主張しても、どこかのテーブルで生年月日から100年を引いていないことを証明する方法がない
    • 意図したことが正しくないと分かっているから痕跡を隠そうとしているのだとすれば説明がつく
    • 思いつく理由がない。誰かにデータへの広範なアクセス権や修正権限を与えるとしても、監査ログはオフにしない
  • DOGE の職員がアクセスしてはいけないデータにアクセスしていたことは、かなり明らかに見える
    記事によると、DOGE は非常に広範な閲覧・変更権限を持つアカウントにアクセスしており、DOGE 所属の誰かが 10GB のデータをダウンロードした可能性がある。その使い方が違法だった可能性もあるし、そもそもアクセス自体が違法だった可能性もある。大統領がそうしたアクセス権を付与できるのかも不明で、個人的には不可能だと思う
    また DOGE の職員は、AWS の巨大な IP プールを使って制限を回避できるコードをダウンロードしており、そのコードはひどい出来で、当人は人種差別的な発言もしていた
    ただし、AWS の「無制限」の IP アドレスで Web ページを自動スクリーンスクレイピングする手法が、NLRB の内部データベースにある極めて機密性の高いデータをコピーするうえで、どんな利点をもたらしたのかはよく分からない。超機密データのシステムが外部 IP からアクセス可能で、単一アカウントで 1 万セッションの同時ログインを許可し、内部 DB をスクレイピングできるのだとしたら、そのシステムは大きく壊れている。あるいは、このコードを NLRB 内部の IP 100 個や 1 万個を使うように変更したという意味なのかも疑問だ。後で触れられている自動化は、作業補助用途としてならまだ筋が通る

    • 筆者は IP スクレイピングの話を持ち出しているが、それが互いにどう結びつくのか説明していないので、かなり混乱する。このユーティリティをデータ窃取に使ったということなのか、それとも両者はまったく別の話なのか分からない
    • 「大統領にはできなさそうだ」という部分について、連邦機関のどのデータに行政府の長がアクセス権を持てないというのか疑問だ
  • Tesla と SpaceX の CEO であり、自ら高 IQ を主張し、プログラマーとして知られている人物が、政府技術の縮小を担うエリート・デルタフォースに、事実上スクリプトキディを雇ったように見える

    • Elon Musk が格好よく見える前から嫌いだった。初期には Tesla ファンだったが、Musk の「極秘マスタープラン」を読んで、取締役会長は馬鹿みたいだと感じた
      ただ、その後 SpaceX 初期の Musk が有能で才覚のあるリーダーだったという評価を聞いて驚いた。もしかすると個人崇拝の結果かもしれないが、もっともらしくも感じた。当時は自分を最高のエンジニアのように演じず、エンジニアリングマネージャーとしての立ち位置を分かっていたのだと思う。コードは書けなくてもソフトウェアをよく理解し、直接コーディングすべき時と設計で押し切るべき時をうまく見分ける優れたマネージャーに似ていたのかもしれない
      結局、名声は強力な薬のようなものだ。Musk が特に「高 IQ」だったとは思わないし、最初の結婚を見ても昔から女性嫌悪的な負け犬だったように思うが、「現実の Tony Stark」として崇められたことが彼の脳を壊したように見える。ケタミンも助けにはならないだろう
    • この業界には、特定の能力が欠けている人が、自分は他人の中にあるその能力を見抜いて活用する天才なのだと自分に言い聞かせる現象がある
      そういう人たちは、自分の想像上の「最高の中の最高」を探して周囲に置き、その信念が揺さぶられないことが自我にとって非常に重要になる。反証には目がくらみ、自分が「発掘した」人たちが非凡でなければ、自分の人材選別能力が正当化されない
      ここでもそういうことが起きているように見える。Elon の周辺人物はあまり際立って見えず、実力も非常に疑わしいが、自分の神話を支えるには「Super Coders」のハーレムが必要なのだ
    • 彼らが意図的に混乱を引き起こし、システムを失敗させたいと思っている可能性を過小評価している。共和党の夢は政府が失敗して民営化されることであり、政府を失敗させるのにこれ以上よい方法があるだろうかと思う
    • 似たような記事を見る限り、私に分かる範囲ではみんなスクリプトキディだ
    • スクリプトキディという表現には同意するし、報道もおおむねそう見せていた。ただ、ある意味ではそれが意図なのかもしれない
      レンタカーも借りられないくらいの普通のコンピューターサイエンス専攻の若者数人が、政府機関の最も基本的な財務情報を見直すだけで数十億ドルを節約できる、というメッセージだ。彼らは「デルタフォース」ではなくインターンであるべきだ、という話だ
      目的のために手段を擁護したいわけではないが、税金はもっと効率的に使われてほしい。同時に、彼らに与えられているアクセス権限のレベルは極めて心配で、実質的に説明責任もない
  • Marko が誰なのかを無視したとしても、見ず知らずの人がなぜリポジトリにあのような公開狙い撃ちを投稿したのかは奇妙だ。たまたま通りかかったリポジトリを見て攻撃したくなったことはないし、その批判にも AI が作ったような匂いが残っている
    引用リンク: https://github.com/markoelez/async-ip-rotator/issues/1
    それに続くコメントも、偶然と見るには興味深い、かなり奇妙なやり取りだ

    • 「Marko が誰なのかを無視」して初めて奇妙なことになる。偶然ではなく、誰かが DOGE の「天才コーダーたち」が実質的には裸の王様だと明らかにしたのだ
    • 2 月 6 日、Marko Elez は WSJ が 2024 年に書かれた複数の人種差別的投稿を発見した後、DOGE を辞任すると発表した。WSJ は 5 日にこれを報じた
      その件で、誰かが実際のコーディング能力はどの程度なのか気になり、彼が作ったリポジトリを見てみた可能性が高い。その後 Musk は X で Elez を DOGE に再雇用するかどうか「投票」を行い、2 月 20 日には Elez が再び米政府のメールアドレスを持っており、2 月 21 日には社会保障局で DOGE の業務をしていると報じられた
    • Issue の 2 つ目のコメントには、なぜ 1 つ目のコメントが投稿されたのかがかなり明確に書かれている。辞任報道を見て、「インド人嫌悪の正常化」と「優生学的な移民政策」を擁護したアカウントに結びついた人物が、IT 業界の文脈でそのような見解を持っていたことの偽善について、言わずにはいられなかったという内容だ
    • OP のコメントが投稿されてから約 20 分後にリポジトリが削除された。保存リンク: https://web.archive.org/web/20250423135719/https://github.co...
    • なぜ奇妙に見る必要があるのか分からない。その投稿を書いたユーザーはかなり長く活動しているユーザーに見えるし、公開リポジトリを見ると近接した文脈で作業しているようなので、自分のプロジェクトで async-ip-rotator を使ってみようとした可能性も十分にある
  • こうしたパッケージを GitHub に公開のまま残していたという事実自体がおかしい。非公開にできることを知らないのか、率直に言って、この人たちがどれだけ愚かなのかを示している

    • あるいは、何の結果も生じないと分かっていて大胆になったのかもしれない。
      この政権が出した恩赦リストを見ればいい。彼らは起訴すらされないだろう
    • この特定のケースでは大きな意味はないかもしれないが、GitHub では非公開フォークは完全には非公開ではない: https://docs.github.com/en/pull-requests/collaborating-with-...
    • 公開リポジトリのフォークを非公開にするには git コマンドラインを使う必要がある
    • 公開パッケージを再利用しただけで、そのパッケージは何年も公開されていた。ある人物が変更を加えて公開フォークを作ったという話で、それがオープンソースの目的なのではないかと思う
  • この件で誰かは刑務所に行くべきだ。単なる誤解ではなく、すべての米国市民に対する意図的な攻撃

    • これを見て理解すべき人たちは別の現実に生きていて、こうした不都合な事実は、嫌いな人々に向けた正義の怒りへと抽出・変換・ロードされる。
      彼らが心配していたディープステートとはまさにこれであり、彼らを踏みつけるブーツもこれだ。
      追記: 親コメントはこの記事で最上位だったのに、今は一番下にある?
    • 今はそうしたことが起こる可能性はゼロだ
    • 大統領が誰かを忘れているようだ。彼らはこの件も他のすべての件も逃げ切るだろう。だからといって試みるべきではないという意味ではないが、現実的に見る必要がある
    • Trump の引き出しには、この事態に関わった全員のための恩赦状が山積みになっていると信じている。いつか結果に向き合わなければならないと思っていたなら、政府全体でこれほど多くの法律を破ることはなかっただろう。
      次の議会と政権がこれを片付けられないようにする手段が恩赦でないなら、その代替案は考えるにはあまりに暗い
    • たとえ誰かが起訴しようとしても、結局は恩赦されるので、実際には難しいと思う
  • 追跡不可能な形で政府データベースに完全アクセスできるというのは、その波及効果を想像することさえ難しい

    • 私たちが聞くのは、誰かがリスクを冒して内部告発し、実際に話を外に出すことに成功した場合だけだ。
      人々が真剣に受け止めるだけの十分な根拠があることを願うばかりだ。公開される可能性のある事例があとどれほど残っているかは、読者に委ねるべき問題だ
    • Musk が所有する企業に対する申し立てに関連する個人データへ直接アクセスしたことになる
  • 正確に何を主張しているのか分からない。DOGE の人たちが GitHub の「ハッカー」コードを書き、使って、NLRB データのセキュリティ制限を迂回したということなのか? すでにシステムにスーパーユーザーアカウントがあったのなら、なぜそんなことをする必要があったのか疑問だ

    • 記事の要点は、内部告発者の当初の主張を公開資料で裏付けられるということのようだ。DOGE の人たちは、最善に見てもずさんに動いており、より可能性の高い解釈は、自分たちのやっていることが法的審査を通らないと分かっていて痕跡を隠そうとしている、というもう一つのデータポイントだ
    • DOGE はデータ持ち出しを支援するライブラリをダウンロードし、実際にスーパーユーザーアカウントで得たデータを持ち出した。
      通報文書を読んでみることをおすすめする: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
    • 記事は非常にひどい書き方だ。公開文書そのものの方がずっと読みやすい。
      https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
    • 核心は埋もれているが、その含意は、労組オーガナイザーに関する大量のデータをダウンロードして企業に渡し、その企業が当該人物たちを先手を打って解雇できる、ということだ
    • 監査ログに残らないバックドアを追加したからだ