DOGE従業員がソーシャルセキュリティデータをUSBドライブで盗む

連邦監視機関がデータ侵害を明らかにする

Department of Government Efficiency傘下で働いているスタッフメンバーが、機密のSocial Security Administration(SSA)データを個人のUSBドライブにコピーしたと報告されている。この報告により、DOGE創設以降、DOGE職員に与えられた連邦システムへの幅広いアクセスについて、複数の政府機関が懸念を表明している。

この事案は内部監視レビューで指摘されたもので、従業員が数百万人のアメリカ人の個人識別情報(PII)が含まれるデータベースにアクセスしたことが判明した。報告されたデータには、Social Security番号、支払い記録、および連邦政府内で通常は厳格なアクセス管理の対象となる他の機密詳細が含まれていた。

侵害がどのように発生したか

報告書によると、DOGE従業員には、政府支出の監査と無駄の特定という効率化イニシアティブの使命の一環として、SSAシステムへの管理者レベルのアクセスが付与されていた。しかし、そのアクセスの範囲は、政府のオーバーヘッドを削減するという明記された使命に必要な範囲をはるかに超えていたようである。

この問題に詳しい情報筋によると、DOGE職員にエージェンシーのデータベースへのアクセスを迅速に付与するため、標準的なサイバーセキュリティプロトコルが回避されたという。通常、SSA記録へのアクセスには、複数レベルの認証、そのエージェンシーに固有の背景調査、およびデータ転送の継続的な監視が必要である。これらのセーフガードのいくつかはDOGE職員のために緩和またはウェイブされたと報告されている。

個人用USBドライブの使用は、サイバーセキュリティの専門家にとって特に懸念事項である。リムーバブルストレージデバイスは、政府および企業環境の両方において最も一般的なデータ侵害のベクトルの一つであり、簡単に紛失、盗難、または保護されていないシステムへのデータ転送に使用される可能性がある。

議会の対応と法的問題

両党の議員が回答を要求している。Senate Finance Committeは、DOGE のデータアクセスプラクティスに関する公聴会を開催すると発表し、ランキングメンバーはこの事案をPrivacy Act of 1974の潜在的な違反と呼んでいる。これは、連邦エージェンシーが個人情報を収集、保持、および配布する方法を規制している。

法律の専門家によると、データ転送が無許可であるか、承認されたアクセスの範囲を超えた場合、従業員はComputer Fraud and Abuse Act下で刑事告発に直面する可能性がある。Privacy Actはまた、記録の不正な開示に対して民事および刑事の罰則を課す。

複数のプライバシー擁護グループは、SSOだけでなく、すべての連邦エージェンシーにおけるDOGE従業員がアクセスしたデータの詳細を求めるFreedom of Information Act申請を提出している。Electronic Frontier Foundationは、このインシデントを適切な監視なしに幅広いシステムアクセスを付与した予測可能な結果と呼んだ。

政府データセキュリティのより広い影響

この侵害は、DOGE創設以来存在していた矛盾を浮き彫りにしている。政府運営を迅速に監査するというイニシアティブの使命は、エージェンシーが機密データを保護するために使用する意図的でセキュリティ優先のアプローチとしばしば衝突する。連邦IT システムは良い理由で区分化されたアクセスで設計されており、それらの保護を回避することは系統的なリスクをもたらす。

サイバーセキュリティ専門家は、良い意図のデータアクセスでさえ脆弱性を生成できることを警告している。セキュアな環境を離れてポータブルデバイス上でデータが残されると、それを追跡または保護することはほぼ不可能になる。問題のSSAデータが悪意のある者の手に落ちた場合、なりすまし、詐欺、または他の悪意のある目的に使用される可能性がある。

Social Security Administration は7,000万人以上のアメリカ人に月々の給付金を提供し、そのデータベースは連邦政府の最も機密性の高いものの中にある。このデータの侵害は、金融システム、ヘルスケアプロバイダー、およびアイデンティティ検証としてSocial Security番号に依存する他の機関全体に波及効果をもたらす可能性がある。

次に何が起こるか

SSAは、Inspector Generalのオフィスと並行して独自の内部調査を開始したと報告されている。DOGE指導部は特定の疑惑についてパブリックコメントをしていないが、以前はそのデータアクセスプラクティスを数十億ドルの無駄と詐欺を特定するために必要であると主張している。

このインシデントは、DOGE運営に対する継続的な法的異議を助長する可能性が高い。複数の連邦裁判官はすでにDOGEの特定のエージェンシーシステムへのアクセスの合法性に疑問を呈する判決を下しており、この最新の啓示はそれらのケースを強化する可能性がある。今のところ、USBドライブとその内容は、アクティブな連邦調査の対象である。

この記事はTechCrunchによるレポートに基づいている。元の記事を読む。