カリフォルニア州の学生自治会選挙は、候補者の一人が選挙結果を操作するために他の学生をハッキングしたことを認めたことで奇妙な展開を見せた。
地元ニュースサイト「バークレーサイド」によると、バークレー高校の無名の生徒が、脆弱なパスワードとデフォルトの認証情報を悪用して500人以上の同級生のメールアカウントに侵入し、自分自身ともう一人の無防備な候補者に不正投票を行ったという。
報告書によると、今年の生徒会選挙はオンラインで行われた初の選挙となり、生徒は市内の学校に入学した際にバークレー統一学区から受け取る Google for Education のメールアドレスでログインし、投票を行ったという。
Google が学校向けサービスを開始する前の時代に卒業した私たちは、学生たちがこれらのアカウントを使って課題を完了したり、同級生や教師とコミュニケーションをとったり、学校の選挙で投票したりしていたようです。
投票期間中、校内選挙を監督する学生が、生徒会長と副会長に立候補した二人の候補者の投票パターンが異常であることに気づきました。生徒たちはアルファベット順に、不規則な時間に、そして一斉に投票していたのです。
ミレニアル世代が私たち年寄りより情報セキュリティに詳しいと思っているなら、バークレー高校(なんとカリフォルニア大学バークレー校のキャンパスのすぐ近くにある)の生徒は、Google アカウントのログイン情報を大体デフォルト(「Berkeley」と生徒の学区 ID 番号の組み合わせ)のままにしていたことが判明した。
同志、ダメだ!上院、ロシア排除のための選挙法案を提出
続きを読む
多くの学生が簡単に推測できるパスワードをアカウントに残していたため、候補者たちは数百のアカウントを掌握し、学生のID番号を調べるだけで自分たちに有利な票を投じることができました。この策略が発覚した後、投票はリセットされ、学生は再投票を許可されました。当然のことながら、不正投票を行った候補者たちは今回は当選しませんでした。
バークレー統一学区はコメント要請に応じなかったが、生徒のパスワードもリセットされたことを願うばかりだ。
Google for Education では二要素認証が可能ですが、そのオプションは管理者が有効にする必要があります。また、最近の子供のほとんどはスマートフォンを持っていますが、学区全体 (バークレー高校だけで 3,000 人の生徒がいます) に多要素認証を設定するのは現実的ではないかもしれません。
それでも、今回の事件は、学生と保護者双方にとって、デフォルトのパスワードからより安全で推測しにくいものに変更するよう警告するものであるべきです。学生が選挙をハッキングしたというニュースは注目を集めますが、大局的に見れば、これらの乗っ取られたアカウントで、もっとひどいことが起こり得たはずです。®
