社会保障庁の高官が告発し、トランプ政権下の政府効率部(DOGE)が数億件の社会保障記録を脆弱なクラウドサーバーにアップロードしたと発表しました。これにより、多くのアメリカ人の個人情報が危険にさらされる可能性があるということです。
社会保障庁のデータ責任者であるチャールズ・ボルヘス氏は、火曜日に公開された告発文で、他の高官が6月に「監視を回避するクラウド環境に国の社会保障情報のライブコピーをアップロードする」決定を承認したと述べました。ボルヘス氏はこの決定に懸念を示していました。
このデータベースは「数値識別システム」として知られ、社会保障申請の一部として提出された450百万件以上の記録を含んでいます。これには申請者の名前、出生地、市民権、家族の社会保障番号、その他の個人および財務情報が含まれています。
ボルヘス氏によると、DOGEのメンバーは、この機密データベースを独立したセキュリティ管理が欠如しているとされる、アマゾンがホストするクラウドサーバーにコピーしました。このセキュリティ保護の欠如は、内部のセキュリティ管理および連邦のプライバシー法に違反しているとされています。
ボルヘス氏は、DOGEがクラウドの管理者となることで、「公にアクセス可能なサービス」を作成できる可能性があると警告しています。これにより、クラウドシステムやそこに保存された機密データに公衆がアクセスできるようになる可能性があるということです。
この情報が漏えいした場合、「全てのアメリカ人の個人識別情報、健康診断、収入レベル、銀行情報、家族関係、個人の履歴データが公に公開され、広く共有される可能性がある」とボルヘス氏は警告しています。
告発文では、データベースへの不正アクセスがあれば、アメリカの社会保障プログラムに「壊滅的な影響」を与える可能性があるとし、最悪の場合、全ての社会保障番号を再発行する必要があると述べています。
3月には、DOGEのスタッフが国の社会保障記録データベースにアクセスすることを一時的に禁止する連邦の差し止め命令が出されましたが、6月6日に最高裁がこの命令を解除し、DOGEのアクセスが可能になりました。その後、DOGEは内部承認を求めたとされています。
社会保障庁の情報責任者であるアラム・モガダッシ氏は、データベースをクラウドにコピーすることを承認し、「ビジネスニーズがセキュリティリスクを上回る」と判断し、プロジェクトに伴う「全てのリスクを受け入れる」と述べています。また、モガダッシ氏の前任者でDOGEの上級オペレーターであるマイケル・ルッソ氏も、ライブの社会保障データをクラウドに移すことを承認しました。
ボルヘス氏は、内部で問題を提起した後、議会の監視を促すために告発したと、彼の弁護士であるアンドレア・メザ氏が述べています。
これは、トランプ政権とその代表者、特にDOGEによるサイバーセキュリティ対策の不備に関する最新の告発です。1月以降、DOGEのメンバーは、アメリカのほとんどの連邦部門と市民データセットを掌握しています。
テッククランチがホワイトハウスのスポークスパーソンであるエリザベス・ヒューストン氏に連絡を取ったところ、彼女はこの告発について政権が知っているかどうかについてはコメントせず、社会保障庁にコメントを委ねました。
社会保障庁のスポークスパーソンであるニック・ペリン氏は、同庁は「重要な情報を保護するための強力な安全措置が施された安全な環境で個人データを保管している」と述べています。
「告発文で言及されているデータは、SSAによって長年使用されている環境で保管されており、インターネットから隔離されています。高レベルのキャリアSSA職員がこのシステムへの管理アクセスを持ち、SSAの情報セキュリティチームによる監視を受けています」とスポークスパーソンは付け加えました。
同庁は「この環境への侵害は認識していない」と述べています。
クラウドに保存された連邦政府データのデータ漏えいは稀ですが、ないわけではありません。2023年、テッククランチは、アメリカ国防総省がセキュリティの不手際により、数千件の機密軍事メールをオンラインで公開したと報じました。このメールデータは、政府顧客専用のクラウドであるマイクロソフトのAzureに保存されていましたが、設定ミスにより軍事ユニットのメール内容が公に流出しました。
訂正:この記事の初期バージョンでは、暴露されたDODのメールがホストされていた場所を誤って記載していました。この記事は現在、暴露されたデータがマイクロソフトのAzureにホストされていたことを正確に反映しています。