イーロン・マスク氏の率いる政府効率化局(DOGE)の職員が、労働関係法を執行するアメリカ政府の独立行政機関・全米労働関係委員会(NLRB)の機密案件ファイルから数GBのデータを抽出して持ち出した疑惑について、X(旧Twitter)やSpaceXでソフトウェアエンジニアを務めた経歴を持つDOGE職員が関わっていた可能性が報じられています。
DOGE Worker’s Code Supports NLRB Whistleblower – Krebs on Security
https://krebsonsecurity.com/2025/04/doge-workers-code-supports-nlrb-whistleblower/
NLRBのIT部門に所属する内部告発者のダニエル・ベルレス氏は、DOGE職員がNLRBを訪れて内部システムへのアクセスを試み、大量のデータを持ち出したと主張しました。持ち出されたデータには労働組合、進行中の訴訟、企業秘密に関わる機密情報などが含まれていた可能性があります。
この時、DOGE職員はNLRBの内部システムにアクセスできる上級管理者レベルのアカウント付与を要求しています。ベルレス氏がその後に内部システムを調査したところ、ネットワークリソースに関連する記録の大部分が欠落しており、監視ツールが無効化されていたことに気付きました。
さらにベルレス氏は、DOGE用に作成されたと思われるアカウント「[email protected]」を発見。PowerShellコマンドの実行ログから、このアカウントがGitHubから3つのリポジトリをダウンロードしていることがわかりました。
この3つのうちの1つは、READMEに「AWSのAPIゲートウェイを利用し、ウェブスクレイピングや総当たり攻撃のために疑似的に無限のIPアドレスを生成する」と書かれていました。この説明文をGoogle検索したところ、「Ge0rg3」というユーザーの「requests-ip-rotator」というプログラムにたどり着きます。
さらに、セキュリティ研究者のブライアン・クレブス氏が調査した結果、DOGEの職員であるマルコ・エレズ氏が、このrequests-ip-rotatorをフォークした「async-ip-rotator」を2025年1月にコミットしていたことがわかりました。
エレズ氏は25歳のソフトウェアエンジニアで、SpaceXのソフトウェア開発やX(旧Twitter)で検索AIの開発を行うなど、イーロン・マスク氏が経営する複数の企業に関わりのある人物です。DOGEではアメリカ財務省の決済システムに管理者レベルのアクセス権を要求したことで知られており、さらにネット上に人種差別的なコメントを投稿したことで世間の厳しい批判にさらされました。なお、エレズ氏は一度DOGE職員を辞任していますが、ドナルド・トランプ大統領とJ・D・ヴァンス副大統領が支持を表明したことで再雇用されています。
DOGEによる政府システムへのアクセスに懸念の声、「アメリカ政府の歴史の中で最も重大なセキュリティ違反の可能性」とも – GIGAZINE
クレブス氏は、requests-ip-rotatorがインターネット上の追跡を困難にするようなツールであり、そのフォークをコミットしていたエレズ氏がDOGEの一員として他の政府組織でも内部システムにアクセスしていたという事実から、今回のNLRBの機密データ持ち出しにエレズ氏が関わっていたのではないかと推測しています。
なお、クレブス氏が記事を公開した直後、エレズ氏のasync-ip-rotatorのリポジトリは削除され、閲覧できなくなりました。削除される前のasync-ip-rotatorのイシューには、「insecure, unscalable and a fundamental engineering failure(不安定で拡張性がなく、根本的にエンジニアリングを失敗している)」とコードの完成度を批判するコメントがついていたそうです。
この記事のタイトルとURLをコピーする
Be the first to comment
