ハクソク

世界を動かす技術を、日本語で。

第二のvote.govを見つけました - それはホワイトハウスに登録されています

17時間前原文(thedreydossier.substack.com)

概要

  • TrumpRx という連邦政府の薬価比較サイトで発見された異常な挙動
  • National Design Studio という新設組織が複数の連邦サイトを設計・運用
  • サイト利用者の 個人情報や行動データ が外部へ送信されている疑惑
  • 法的に必要な プライバシー通知や契約文書の欠如
  • 複数の連邦機関サイトが ホワイトハウス直轄で密かに構築 されている実態

TrumpRxで発見された「逆転する調査の瞬間」

  • TrumpRx は連邦政府が運営する薬価比較サイト
  • サイトのデザインは WixPinterest を混ぜたような、混沌とした美的感覚
  • ホームページには 金色の立体イーグル や漂う錠剤、独特のキャッチコピー
  • サイトの フッター に「Designed and Engineered in D.C. by National Design Studio」と 異例の署名表示
  • 通常、連邦政府サイトが 制作者の署名を公開することはない

National Design Studioの正体

  • 2025年8月の大統領令 で設立された新組織
  • 公式任務は「 アメリカ国民の政府体験の再設計
  • リーダーは Airbnb共同創業者Joe Gebbia
  • White House Chief of Staff(Susie Wiles) 直属、通常の技術系部署とは異なる位置付け
  • 上院承認不要 で財務開示義務もなく、公式記録上ほぼ存在しない組織体
  • スタッフは Section 3161 による臨時雇用やボランティアが多く、給与報告や監査対象外

DOGEからの系譜と問題点

  • 幹部やスタッフは DOGE (複数の訴訟中の連邦技術部門)出身者が多数
  • DOGEはセキュリティクリアランスなしで 社会保障データやDHSデータ へのアクセス問題で訴訟中
  • National Design Studioは DOGEの後継ではなく、実質的な再編成

サイト利用者データの追跡と漏洩リスク

  • TrumpRx利用時に PostHog (シリコンバレーの分析会社)へ行動データが自動送信
    • マウス操作、クリック、スクロール、キー入力 まで記録
    • IPアドレスの匿名化なし
    • データは一見TrumpRxに送信されているように見せかけ、実際はPostHogへ転送
  • 他の関連サイト(Real Food, Trump Accounts, ndstudio.gov)でも 同様の仕組み
  • ndstudio.govでは AutoMonitor というカスタムJavaScriptも稼働
    • サイトと外部サーバーの通信を 全てコピー・保存可能な構造
    • 実際に保存している証拠はないが、 技術的には可能

法律違反とプライバシー問題

  • 連邦政府が市民情報を収集する際に必要な プライバシー通知や連邦公報への掲載、外部業者との契約書 が全く見当たらない
  • 12のNational Design Studio関連プログラム全てで 法定書類が未提出
  • 唯一のプライバシーポリシーも 内容が矛盾し、虚偽記載
    • 「閲覧ページや薬品情報を記録」→「健康・医療情報は収集しない」と両立しない記載

未公開サイト群とホワイトハウス直轄運用

  • SSL証明書の公開ログ(crt.sh) を調査し、未発表の約40サイトを特定
    • State Department、NASA、DHSなどの名を冠したサイトも含む
    • vote.govfbi-kirk-tipline など選挙・治安関連のプレビューサイトも発見
  • すべてのサイトが Executive Office of the President に帰属
  • Cloudflare の個人アカウント(loveisaskill.cloudflareaccess.com)で一元管理
    • アカウント名はGebbiaの持論「Love is a skill」に由来
    • 連邦インフラは本来、個人ではなく機関所有が原則

主要人物の動向と権限集中

  • Greg Hogan はDOGEからNational Design Studioに移籍し、 Login.gov (連邦IDシステム)を運用
    • 150万人以上 の米国民が利用、バイオメトリクスも収集
  • Akash Bobba はUS African Development Foundationのセキュリティ責任者となり、 ホワイトハウススタッフが中小機関の全通信・申請情報にアクセス可能
  • vote.gov のプレビューサイトはCloudflareの個人アカウント配下で運用
    • 2026年4月10日に証明書発行
    • 直前に大統領令で「連邦市民権確認付き有権者リスト」構築を指示、90日以内の期限

ホワイトハウス直轄のウェブインフラと選挙・個人情報管理のリスク

  • 連邦政府の主要サイトが ホワイトハウス直属の少人数組織 で密かに構築・管理
  • サイト利用者の プライバシーや個人情報保護 が徹底されていない実態
  • 選挙管理サイトやIDシステム が一部スタッフの裁量で運用され、 チェック体制の欠如
  • 公的インフラの 個人アカウント管理 によるリスク拡大
  • 法律上の 説明責任・透明性の欠如 が深刻な問題として浮上

Hackerたちの意見

このレポートの重要な発見は、https://ndstudio.gov(大統領令で作られたDOGE-lite)が、https://usa.gov/passportやhttps://vote.govのようなサイトの証明書透明性ログにステージングドメインを持っていることだよ。生データはここにあるよ: https://thedreydossier.github.io/NDS_servers_map/ 特に、今のhttps://passports.govの怪しさに注目してほしい。個人的には、政権が非民主的かつ権威主義的な方法でデジタル/物理的インフラを掌握することに何の問題も感じていないと思う。そして、この「デザインスタジオ」が有権者情報やパスポートのような非常に敏感な政府サービスのためにステージングサイトを作っているという事実は、彼らの再設計の内容が正確にわからなくても不気味だよ。大統領令をそのまま読めば、https://vote.govやhttps://usa.gov/passportよりもずっと使いにくい1,000以上の他のウェブサイトで作業を始めることができるはずだよ。

これを防ぐために作られた法律について読むのは興味深いね。こういう形でテクノロジーを束縛することを予想していなかった法律だろう。これらの法律を無視していたことが遵守失敗の根本原因だと仮定することもできるけど、そうするとゲビアがテクノロジーを理解していないとも仮定しなきゃいけない。そして、この記事の著者が言うように、その二つのことが同時に真実であることはまずないよ。

コンピュータと法律の調査を組み合わせるの、いいね。この記事はさまざまな関連する違法行為を文書化しているけど、タイトルに関連する部分を抜粋すると: > フロリダ2000の後、議会は法律を通して[...] 有権者登録は現職大統領のホワイトハウス内には存在できないとした。 [...] 現在、vote.govは選挙支援委員会に登録されている。 [...] でも、証明書ログには[...] 4月10日の日付のvote.govの作業プレビューがあった。司法省は連邦裁判所にそのインフラは存在しないと伝えた。どちらも真実であることはありえない。司法省が連邦裁判官に嘘をついたか、スタジオがその作業を代替するために国の有権者登録サイトを作っているのに、そのことを置き換える機関に伝えていないかのどちらかだ。第三の選択肢はない。うーん、法律を破った場合に責任を問われないと主張する一人の男のオフィスを通して、すべての通常の政府アクセスを制限するという考えは本当に嫌だ。ノーフライリストの乱用を想像してみて、さらに悪化した感じ。政権についてのネガティブな記事を公開したら、あれ、今はどういうわけか政府のサイトにログインできなくなった、なんてことが起こるかも。 > 連邦政府が市民について情報を収集する際、法律はまず特定のことを要求している。プライバシーの開示。連邦官報での通知。外部業者との契約の公開。12のナショナルデザインスタジオプログラムを調べてみたけど、どれも見つからなかった。必要な書類が一つも提出されていない。欠落している書類はそれ自体が連邦法違反で、これらはウォーターゲート事件後に議会が作った法律で、連邦政府が自国の市民に対して秘密の監視プログラムを運営できないようにするためのものだ。だから、これは古典的な「悪意か無能か」の質問につながる...それを早めに解決したい。過去数年で、アルゴリズムに無限の実行時間を与える病的な入力があることがわかった。迅速に決定できないなら、正しい答えは両方だよ、悪党がどちらかを主張するまで。

これは、偶然にもYcombinatorの会社で、ちょっとHNに関連するボーナスがあると思う。まるでVC資金を受けたテック企業が「私たちだけがこれを全て責任を持つべきだ」という考え方のインキュベーターになったかのよう。

その証明書が現れる数週間前、この政権はDHS、社会保障局、SAVEプログラムに連邦市民確認済みの有権者リストを作成するよう求める大統領令に署名した。署名から90日以内が期限だ。その期限はもう数週間後だ。命令が連邦裁判所で異議を唱えられたとき、司法省はその機関がまだ準備を始めておらず、まだ検討段階にあると裁判官に伝えた。この話は意味があるのかな? - 機関は「有権者リスト作成委員会」を承認するのに90日かかる - DOGEに相当するものがAirBnBのテンプレートから例のサイトを作成する計画で、期限が近づくと「ほら、このコードを採用して期限に間に合わせて。証明書を置き換える必要があるよ」と言えるようにする - だから、機関はまだ検討段階にあるというのは本当だ。プロトタイプを作っているのはナショナルデザインスタジオなんだ。

これは怖いし、ほぼ確実にこのサイトで早々に忘れ去られるだろうね。これからの監視国家に味方する人たちが、この話が続くのを許すほどの力を持っているから。

3時間で91ポイントも獲得したのに、もうHNには見当たらない。

オバマやバイデン政権がこれをやっていたら、共和党の右派は黙っていなかっただろうね。大統領が「急進的な法的再解釈」や大統領令を通じて大統領選挙を掌握しようとするのは、政府に対する恐怖の集大成だったはず。もし有権者詐欺があるなら、大統領のオフィスはそれを他の政府機関に証明できるべきで、投票改革やインフラに対する監視を受けるべきだ。このことが大統領のオフィスを通じて行われる理由はないよ。しかも、選挙に負けたことを公に認めず、そう言った人を解雇する大統領の上にこれがあるの?トランプ政権が続く限り、「権威主義/ファシズムが来る」という懸念がますます現実味を帯びてきているよ。