米国のウェストバージニア州は、今年の中間選挙で一部の住民がスマートフォンアプリで投票できるようにする計画だが、そのセキュリティが緩いように見えることが情報セキュリティの専門家を不安にさせている。
軍人およびその配偶者を含む海外在住の有権者は、理論上、Voatzモバイルアプリをインストールして使用し、インターネット経由で電子投票を提出できるようになります。Voatzは2014年に設立されたボストンを拠点とするスタートアップ企業で、「モバイルを中心とした選挙投票と市民参加」を専門としています。同社は最近、シードラウンドで220万ドルを調達し、AndroidとiOSに対応したソフトウェアを提供しています。
ウェストバージニア州当局は今年初めの予備選挙で少数の海外有権者を対象にVoatzを使った試験的プロジェクトを実施し、これが成功と判断されたため、11月の中間選挙に向けてプログラムを拡大したいと考えている。
ウェストバージニア州務長官の広報担当者は本日、レジスター紙に対し、当局はVoatzに関するセキュリティ上の懸念を「認識している」と述べ、「これまで検討したことのない問題ではない」と付け加えた。この試験プログラムには、州内55郡のうち最大10郡が参加する予定で、参加には参加資格が必要となる。前回の試験運用では2郡が対象だった。
州当局によると、Voatzはブロックチェーン台帳と生体認証を組み合わせて利用している。投票するには、政府発行の身分証明書の写真をスキャンし、スマートフォンで撮影した自撮り写真と一致させる必要がある。データは分散型バックエンドサーバー上のブロックチェーンに保存される。これにより、不正な人物による他人への投票、複数投票、集計結果の改ざんなどが防止される。
中間選挙に参加する有権者は依然として紙の投票用紙を送るという選択肢があり、今週の情報セキュリティコミュニティからの反応から判断すると、それは良い考えかもしれない。
批判
セキュリティ専門家は、特にロシア人やその他のハッカーがアメリカの民主的なプロセスに強い関心を抱いている状況で、この新興企業のシステムが、提出された選挙結果を誰も改ざんできないほど安全であると確信していない。
英国を拠点とするコンピューターセキュリティ専門家のケビン・ボーモント氏は月曜日、自身が発見した危険信号のリストを概説した。
Voatzのウェブサイトにはパッチが必要だと言われています。同ウェブサイトは、古いバージョンのApacheウェブサーバーと、古いSSHサービスとPHPがインストールされたマシンで稼働しています。また、NTP、POP3、PHP3、そして2009年版のPleskがインターネットに公開されているようです。Beaumont氏によると、Azureでホストされている同サイトのデータベースには、HTTPS保護のないポート8080でリモート管理パネルが公開されています。
これでは、Voatz がサーバーから悪意のあるユーザーを排除し、選挙結果への介入を防止できるという信頼は得られません。
Voatzのソースコードの一部は、Yodleeアカウントのログイン情報や、この新興企業のMongoDBデータベースの一つへのキーと共にGitHubにアップロードされたようです。Yodleeは、銀行口座情報から有権者の身元を確認するために使用されています。
アプリのレビューによると、ユタ州の郡選挙でVoatzを使用する試みは失敗に終わり、当局は紙の投票用紙に戻らざるを得なかったという。
ボーモント氏はまた、外部機関によるVoatzのセキュリティ監査が特に徹底的ではなかったと主張し、リストに載っている監査機関の1人は、Voatzとは何の関係もないと主張しているようだ。一方、Unixシステム管理者のデイビッド・ジェラード氏は、Voatzがプライベートブロックチェーンを使用している点を批判している。これは基本的に、単一ユーザー向けの追加専用データベースに過ぎない。
アメリカは選挙のオンライン投票に何らかの審査プロセスを導入する必要がある。私はTwitterでポーグ犬に乗ったカウボーイポーグのアバターを使っている外国人だが、このオンライン投票のセキュリティへの影響について誰よりも詳しく調査しているようだ。アメリカ、頭がおかしい。
— ケビン(@GossiTheDog)2018年8月6日
Voatz氏はThe Registerに対し、GitHub上のソースコードはもはや使われておらず、問題のMongoDBデータベースは数年前にインターン生が扱っていたものだと語った。「これらは2年以上前にインターン生がテストプロジェクトとして取り組んだ夏季プロジェクトのものです」とVoatz氏の広報担当者は述べた。「現在展開しているシステムとは一切関係ありません」
Voatzはまた、自社のシステムが脆弱でテストされていないという主張に反論し、ブロックチェーン台帳の使用は合法だと付け加えた。同社はウェストバージニア州のプロジェクトに関する詳細情報を自社ウェブサイト(こちらとこちら)に掲載している。
「認証後、Voatzアプリは有権者のIDを暗号化し、指紋を通じて携帯電話と有権者を結び付け、その後、すべての身元情報(写真、身元記録)を削除します」と同社は説明した。
このプロセスにより、個人識別情報が保存されないことが保証されます。認証が完了すると、有権者は管轄区域から受け取ったモバイル投票用紙で投票できます。何らかの理由で有権者が有権者登録名簿から外れた場合、管轄区域はモバイル投票用紙の送付を停止し、有権者は登録と認証のプロセスを再度開始する必要があります。
ブロックチェーンは怪しい暗号通貨以上のもの
続きを読む
Voatzアプリは、認証されたスマートフォンにセキュリティ対策が組み込まれており、ブロックチェーン技術を採用しています。これにより、一度送信された投票は検証され、地理的に分散した複数の検証サーバーに改ざんのない状態で保存されます。パイロットテスト開始前に、Voatzはスマートフォン投票アプリを独立したセキュリティ企業に提出し、審査を受けました。パイロットテスト終了後も、Voatz投票アプリは独立した資格を持つ第三者機関による厳格な「レッドチームテスト」を頻繁に受けています。
大きな懸念事項の一つは、この新興企業がブロックチェーンのバックエンドに驚くほど依存していることだ。
アイデアとしては、選挙管理当局が各有権者にトークンを送り、それが有権者のスマートフォンアプリの台帳に記録されるというものだ。
その後、アプリケーションからインターネット経由で投票が送信されると、Voatzのサーバーがそのアクションを検証し、問題がなければ、投票者の台帳からトークンが引き落とされ、選択された候補者の台帳に入金されます。最後に、すべてのトークンを合計し、最も多くのトークンを獲得した候補者が当選となります。
提出された投票の検証とトークンの割り当ては、バックエンド サーバーがクリーンであり、ハッカーによって侵害されていないことを前提としています。そうでなければ、投票トークンが間違った台帳に入ってしまう可能性があります。また、Voatz は、そのシステムが内部的にどのように機能しているかについて、特にオープンではありません。
ワシントンD.C.の民主主義技術センターの主任技術者、ジョセフ・ロレンゾ・ホール氏はCNNに対し、「モバイル投票は恐ろしいアイデアだ。セキュリティが脆弱なデバイスを使って、脆弱なネットワークを経由して、物理的な紙の投票記録がなければセキュリティを確保するのが非常に難しいサーバーにインターネット投票を送信するのだ」と総括した。®
