- NLRBのセキュリティアーキテクト Daniel J. Berulis は、DOGEアカウントが3月初旬に機密性の高い事件ファイルから10GB超のデータを持ち出したと主張しており、ダウンロードされたGitHubコード束の1つがDOGE職員 Marko Elez のコードと非常によく似ていることが確認された
- DOGE向けに作成されたアカウントはtenant admin権限を持ち、ネットワークログの例外設定を求められており、データへのアクセス・コピー・変更に加え、ログ可視性の制限まで可能な水準だったと Berulis は主張している
- 問題のコード説明は、AWS API Gateway の大規模なIPプールで「pseudo-infinite IPs」を作り、Webスクレイピングやブルートフォースに使う内容で、GitHub の requests-ip-rotator および Elez が 2025年1月に fork した async-ip-rotator と結び付けられている
- あわせてダウンロードされた GitHub アーカイブには、WebサイトAPIのリバースエンジニアリングツール Integuru と、Web作業自動化向けのヘッドレスブラウザ Browserless も含まれており、いずれもスクレイピング・自動化の文脈と一致している
- NLRBの事件ファイルには労組結成を望む従業員情報や企業の専有文書が含まれており、Berulis は、このデータが企業に渡れば進行中の労働紛争で被告側に不公正な優位を与えかねないと懸念している
NLRB内部告発者の主張
- NLRBのセキュリティアーキテクト Daniel J. Berulis は、DOGE関係者が3月初旬に同機関の機密性の高い事件ファイルからギガバイト単位のデータを持ち出したと主張している
- Berulis の内部告発文書によれば、DOGE関係者は3月3日にNLRB幹部と面会し、複数の強力なtenant admin アカウントの作成を要求した
- これらのアカウントは、通常は詳細な活動記録を残すネットワークログの対象外にするよう求められた
- 新しいDOGEアカウントは、NLRBデータベース内の情報を読み取り、コピーし、変更できる無制限の権限を持っていたという
- ログの可視性を制限したり、保存を遅らせたり、ログを別の場所に送ったり、完全に削除したりすることも可能な権限だったという
- Berulis は、自分や上司ですら持っていない最上位のユーザー権限がDOGEアカウントに付与されたと主張している
GitHubコードのダウンロードとIPローテーションツール
- Berulis は、DOGEアカウントの1つが、NLRBや委託業者が使用したことのない外部のGitHubコードライブラリ3件をダウンロードした事実を発見したという
- そのうち1つのコード束の README には、AWS API Gateway の大規模なIPプールをプロキシのように使って、Webスクレイピングやブルートフォースのための「pseudo-infinite IPs」を作ると説明されている
- 同じ説明文を検索すると、GitHubユーザー Ge0rg3 の requests-ip-rotator リポジトリが見つかり、このライブラリはIPベースのリクエスト制限を回避できると紹介されている
- 該当の説明は、「AWS API Gatewayの large IP pool をプロキシとして活用し、Webスクレイピングとブルートフォーシングのための pseudo-infinite IPs を生成する Python library」という内容である
- Ge0rg3 のコードは、誰でも非商用で複製・再利用できるオープンソースコードとして紹介されている
Marko Elez の async-ip-rotator とのつながり
- Ge0rg3 の requests-ip-rotator から派生した新プロジェクト async-ip-rotator があり、DOGE職員 Marko Elez が 2025年1月に GitHub にコミットしている
- 内部告発者がDOGEユーザーがダウンロードしたと明かした GitHub ファイルの README 文言は、Elez の fork ベースのコードと同じ説明を共有している
- Elez は、Treasury Department の中央支払いシステムにアクセスした主要なDOGE人員の1人として紹介されている
- 彼は X、SpaceX、xAI など複数の Musk 系企業で働いた経歴がある
- The Wall Street Journal は、Elez を人種差別と優生思想を擁護したソーシャルメディア投稿と結び付けている
- Elez は論争の後に辞任したが、Donald Trump 大統領と JD Vance 副大統領の支持を受けて再雇用された
- Politico によれば、Elez は現在 Labor Department の補佐官として複数機関に派遣されており、その中には Department of Health and Human Services も含まれる
- Politico は裁判所提出資料を引用し、Elez が Treasury 在職初期に氏名と支払い情報を含むスプレッドシートを General Services Administration 関係者に送り、情報セキュリティ方針に違反したと伝えている
あわせてダウンロードされた他のツール
- Berulis は、DOGE職員がNLRBシステムにダウンロードした他の2つの GitHub アーカイブとして Integuru と Browserless を挙げている
- Integuru は、Webサイトがデータ取得に使うアプリケーションプログラミングインターフェース(API)をリバースエンジニアリングするために設計されたソフトウェアフレームワークである
- Browserless は、Webベースの作業自動化のためのヘッドレスブラウザである
- Webスクレイピング
- 自動テスト
- 複数のブラウザプールを必要とする作業に使用できる
コード品質への批判とリポジトリ削除
- 2月6日、何者かが Elez の async-ip-rotator GitHub issues ページに長文の批判を投稿し、このコードを「insecure, unscalable and a fundamental engineering failure」と呼んだ
- その批判は、このコードが単なるサイドプロジェクトなら悪いコードで済むが、機密データを扱う環境に類似の実装がデプロイされていたなら直ちに監査すべきだと指摘した
- 記事公開後、Elez のコードリポジトリは削除された
- 削除されたリポジトリのアーカイブ版は こちら に残っている
NLRBデータの機密性と労働紛争への影響
- Berulis の内部告発文書は、DOGEアカウントがNLRB事件ファイルデータベースから10GB超をダウンロードしたと主張している
- このデータベースには、労組結成を望む従業員に関する情報や企業の専有ビジネス文書など、機密性の高い記録が大量に含まれている
- Berulis は、上司たちが以前の合意に反してこの件をUS-CERTに報告しないよう求めたため、公に出たと述べている
- 無断のデータ転送が事実であれば、NLRBに係属中の複数の労働紛争で被告側に不公正な優位を与えかねないと Berulis は懸念している
- どの企業であっても事件データを入手すれば不公正な優位を持つことになると述べている
- 企業が従業員や労組組織者を特定し、理由を明かさないまま解雇できると述べている
NLRBをめぐる法的状況
- NLRBは、Trump 大統領が理事3人を解任した後、機能に必要なquorumを失い、事実上制約を受けた状態にある
- Amazon と Musk の SpaceX は、労働者の権利と労組組織化をめぐる紛争でNLRBが提起した complaint をめぐり、NLRBを相手取って訴訟を進めている
- 両社は、NLRBの存在自体が違憲だという趣旨の主張を行っている
- 3月5日、米連邦控訴裁判所は、NLRBの構造が憲法に違反するという Musk 側の主張を全員一致で退けた
- KrebsOnSecurity は NLRB と DOGE の双方にコメントを求めており、返答があれば更新するとしている
1件のコメント
Hacker Newsのコメント
Ge0rg3のコードは、誰でも非商用でコピー・再利用できるという意味でオープンソースであり、2025年1月にDOGEのMarko ElezがGitHubに上げた「async-ip-rotator」は、このコードから派生したフォークに見える
元のコード: https://github.com/Ge0rg3/requests-ip-rotator
フォーク: https://github.com/markoelez/async-ip-rotator
コードはほぼ同じで、コメントだけを削除したうえで
asyncを少し散りばめ、細かく変えた程度なので、LLMに貼り付けて非同期に変えてくれと頼んだように見える。ところが元のGPL3ライセンスが消えており、DOGEの人たちが理解したり尊重したりしそうなことではなさそうだアーカイブされたリポジトリページ: https://archive.ph/LI7tt; 以前のリポジトリ数のアーカイブ: https://archive.ph/tgkg5
0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
「サイドプロジェクトなら単に悪いコードで済むが、これが本番システムを作るやり方だとすれば、はるかに大きな懸念がある。この実装は根本的に壊れており、機微データを扱う環境に似たものがデプロイされていたなら、直ちに監査すべきだ」という内容だった
個人用コピーからライセンスを消すことはライセンス条件上まったく可能で、それを非公開のGitHubリポジトリに上げるのも問題ない。だが、無料の非公開リポジトリ制限などの理由で、配布する意図なく公開リポジトリに上げた場合にどうなるのかは曖昧だ
内部告発の中では、この部分のほうがはるかに深刻に見える
2025年3月11日ごろ、NxGenの指標で前週の特定時点に異常な利用が現れ、ベースラインを大きく上回る応答時間と、過去のどの時点よりも高いネットワーク出力の増加が見られたという。これはデータ流出イベントとほぼ重なっており、海外ログインであるためアクセス方針によりブロックされたログインも増えていた
たとえばDOGEがNLRBシステムにアクセスした数日後、ロシアのPrimorskiy KraiのIPアドレスを持つユーザーがログインを試み始め、試行はブロックされたものの、特に懸念されるものだったという。そのログインにはDOGE関連活動で使われた新規アカウントの1つが使われ、認証フローが海外ログイン遮断ポリシーのところでだけ止まっていたことから、正しいユーザー名とパスワードを持っていたように見える。このような試行は20回を超え、その多くがDOGEのエンジニアがアカウントを作成してから15分以内に発生していた点が特に懸念される
最悪の解釈はもっと単純だ。彼らがロシアの工作員として働き、ロシアを侵入させたか、ロシアのためにキーロガーをインストールしたということだ
DOGEの人員が複数のクラウドIPアドレスを使ってスクレイピングしていたことを強く示唆する証拠だ
内部告発によると、DOGE関係者は3月3日にNLRB幹部と会い、そのアカウントのすべての活動を詳細に記録するネットワークロギングから除外される、全権限を持つ**「tenant admin」アカウント**を複数作るよう求めたという
オッカムの剃刀で考えるとかなり明白な状況に見えるが、こうした要求に正当な理由があり得るのか疑問だ
監査記録がないので、発見内容を捏造していないという証拠も提示できない。次に170歳の老人が社会保障小切手を受け取っていると主張しても、どこかのテーブルで生年月日から100年を引いていないことを証明する方法がない
DOGE の職員がアクセスしてはいけないデータにアクセスしていたことは、かなり明らかに見える
記事によると、DOGE は非常に広範な閲覧・変更権限を持つアカウントにアクセスしており、DOGE 所属の誰かが 10GB のデータをダウンロードした可能性がある。その使い方が違法だった可能性もあるし、そもそもアクセス自体が違法だった可能性もある。大統領がそうしたアクセス権を付与できるのかも不明で、個人的には不可能だと思う
また DOGE の職員は、AWS の巨大な IP プールを使って制限を回避できるコードをダウンロードしており、そのコードはひどい出来で、当人は人種差別的な発言もしていた
ただし、AWS の「無制限」の IP アドレスで Web ページを自動スクリーンスクレイピングする手法が、NLRB の内部データベースにある極めて機密性の高いデータをコピーするうえで、どんな利点をもたらしたのかはよく分からない。超機密データのシステムが外部 IP からアクセス可能で、単一アカウントで 1 万セッションの同時ログインを許可し、内部 DB をスクレイピングできるのだとしたら、そのシステムは大きく壊れている。あるいは、このコードを NLRB 内部の IP 100 個や 1 万個を使うように変更したという意味なのかも疑問だ。後で触れられている自動化は、作業補助用途としてならまだ筋が通る
Tesla と SpaceX の CEO であり、自ら高 IQ を主張し、プログラマーとして知られている人物が、政府技術の縮小を担うエリート・デルタフォースに、事実上スクリプトキディを雇ったように見える
ただ、その後 SpaceX 初期の Musk が有能で才覚のあるリーダーだったという評価を聞いて驚いた。もしかすると個人崇拝の結果かもしれないが、もっともらしくも感じた。当時は自分を最高のエンジニアのように演じず、エンジニアリングマネージャーとしての立ち位置を分かっていたのだと思う。コードは書けなくてもソフトウェアをよく理解し、直接コーディングすべき時と設計で押し切るべき時をうまく見分ける優れたマネージャーに似ていたのかもしれない
結局、名声は強力な薬のようなものだ。Musk が特に「高 IQ」だったとは思わないし、最初の結婚を見ても昔から女性嫌悪的な負け犬だったように思うが、「現実の Tony Stark」として崇められたことが彼の脳を壊したように見える。ケタミンも助けにはならないだろう
そういう人たちは、自分の想像上の「最高の中の最高」を探して周囲に置き、その信念が揺さぶられないことが自我にとって非常に重要になる。反証には目がくらみ、自分が「発掘した」人たちが非凡でなければ、自分の人材選別能力が正当化されない
ここでもそういうことが起きているように見える。Elon の周辺人物はあまり際立って見えず、実力も非常に疑わしいが、自分の神話を支えるには「Super Coders」のハーレムが必要なのだ
レンタカーも借りられないくらいの普通のコンピューターサイエンス専攻の若者数人が、政府機関の最も基本的な財務情報を見直すだけで数十億ドルを節約できる、というメッセージだ。彼らは「デルタフォース」ではなくインターンであるべきだ、という話だ
目的のために手段を擁護したいわけではないが、税金はもっと効率的に使われてほしい。同時に、彼らに与えられているアクセス権限のレベルは極めて心配で、実質的に説明責任もない
Marko が誰なのかを無視したとしても、見ず知らずの人がなぜリポジトリにあのような公開狙い撃ちを投稿したのかは奇妙だ。たまたま通りかかったリポジトリを見て攻撃したくなったことはないし、その批判にも AI が作ったような匂いが残っている
引用リンク: https://github.com/markoelez/async-ip-rotator/issues/1
それに続くコメントも、偶然と見るには興味深い、かなり奇妙なやり取りだ
その件で、誰かが実際のコーディング能力はどの程度なのか気になり、彼が作ったリポジトリを見てみた可能性が高い。その後 Musk は X で Elez を DOGE に再雇用するかどうか「投票」を行い、2 月 20 日には Elez が再び米政府のメールアドレスを持っており、2 月 21 日には社会保障局で DOGE の業務をしていると報じられた
こうしたパッケージを GitHub に公開のまま残していたという事実自体がおかしい。非公開にできることを知らないのか、率直に言って、この人たちがどれだけ愚かなのかを示している
この政権が出した恩赦リストを見ればいい。彼らは起訴すらされないだろう
この件で誰かは刑務所に行くべきだ。単なる誤解ではなく、すべての米国市民に対する意図的な攻撃だ
彼らが心配していたディープステートとはまさにこれであり、彼らを踏みつけるブーツもこれだ。
追記: 親コメントはこの記事で最上位だったのに、今は一番下にある?
次の議会と政権がこれを片付けられないようにする手段が恩赦でないなら、その代替案は考えるにはあまりに暗い
追跡不可能な形で政府データベースに完全アクセスできるというのは、その波及効果を想像することさえ難しい
人々が真剣に受け止めるだけの十分な根拠があることを願うばかりだ。公開される可能性のある事例があとどれほど残っているかは、読者に委ねるべき問題だ
正確に何を主張しているのか分からない。DOGE の人たちが GitHub の「ハッカー」コードを書き、使って、NLRB データのセキュリティ制限を迂回したということなのか? すでにシステムにスーパーユーザーアカウントがあったのなら、なぜそんなことをする必要があったのか疑問だ
通報文書を読んでみることをおすすめする: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...