Opinion Brawte nfaq 0 Comments

DEF CONハッカーによる米国の投票機のセキュリティに関する報告書は、懸念されていた通りの悲惨さだ

Table of Contents

DEF CONハッカーによる米国の投票機のセキュリティに関する報告書は、懸念されていた通りの悲惨さだ

11月の中間選挙まで6週間を切った今、米国の電子投票システムを調査していたハッカーらは、米国の選挙のセキュリティの現状について驚くべき実態を明らかにした。

ワシントンD.C.で木曜日に行われたプレゼンテーションで公開された50ページにわたる報告書[PDF]は、DEF CONハッキングカンファレンスのVoting Village主催者によってまとめられた。この報告書は、参加者が有能なハッカーが選挙用コンピュータシステムに侵入し、投票結果を改ざんする方法を発見したVoting Villageの調査結果を要約している。

要するに、この報告書は、今年後半に行われる中間選挙で多くの米国地区が使用する電子投票システムの欠陥を概説している。報告書は、ハードウェアに物理的にアクセスできる悪質な人物が悪用できる脆弱性に焦点を当てている。

「この報告書で概説されている問題は、効率性向上のために是正すべき選挙管理上の欠陥というだけでなく、我が国の重要なインフラ、ひいては国家安全保障に対する深刻なリスクである」と報告書は述べている。「我が国の安全保障は連邦政府の責任であるため、議会は地方選挙管理委員会が策定しているような基本的なセキュリティ基準を成文化する必要がある。」

犯罪的にハッキングしやすい

研究者たちは、テストされたシステムの多くに、メーカーによる基本的なセキュリティ上の欠陥が数多く存在することを発見した。例えば、デフォルトのパスワードの使用や、筐体へのロックや改ざん防止シールの設置の怠りなどだ。こうした欠陥は、不正な人物によって悪用され、票の追加から全く新しい候補者による投票用紙の作成・改ざんまで、あらゆる不正行為に利用される可能性がある。不正行為者がハードウェアに干渉するには、十分な時間、機械にアクセスする必要があるだろう。

一部の電子投票箱では、Javaで書かれたソフトウェアが読み込まれたスマートカードが使われており、コンピュータに挿入すると実行されます。国民一人ひとりにカードが配布され、投票所に行く際に機械に挿入します。残念ながら、カードを自分で書き換えて複数回投票できるようにすることも可能です。カードリーダーがワイヤレスNFCに対応していれば、NFC対応スマートフォンを投票機にかざすだけで、複数回投票することが可能です。

「スマートカードの実装にセキュリティ機構が欠如しているため、投票村の研究者は、投票機を起動して投票を行った後、自動的にリセットされ、悪意のある投票者が2回目(またはそれ以上)の不正な投票を行える投票者起動カードの作成が可能であることを実証した」と報告書には記されている。

「あるいは、攻撃者は携帯電話を使用してスマートカードをワイヤレスで再プログラムすることもできます。」

これとは別に、投票用紙集計機 ES&S M650 が一部の人々の眉をひそめさせた。この機械は物理的なセキュリティが弱く、住民の投票用紙をスキャンした結果を報告するために郡事務官のコンピューターにネットワーク接続されることが想定されていたからだ。

DEF CONビレッジには、議論が巻き起こらなかったわけではない。投票機メーカーのES&Sは、カンファレンスのワークショップとコンテストがセキュリティ上の脅威であると非難した。一方、主催者は、ハッカーがアクセスできるのは一般に入手可能な機器(通常はeBayで購入された廃棄機器)のみであるため、集会の成果は限定的であると指摘した。そのため、ハッカーが現在稼働中の投票システムにどれほどの損害を与えることができるのか疑問視する声も上がった。

古き良き紙で投票する人々

判事:ジョージア州の電子投票機はひどいが、使ってもいい

続きを読む

しかし、最終的には、この事件から得られた知見は、選挙用コンピュータシステムに関する国家安全保障基準を整備するために米国議会がより大きな努力を払う必要があるほど十分な数のセキュリティホールが存在することを示していると研究者らは考えている。

「多くの地方選挙管理当局は、議会に対し、強力なセキュリティ対策への対策と資金提供を求めるべく精力的に活動してきたが、それだけでは十分ではない。国家安全保障担当の指導者らは、この脅威の重大さと国家安全保障への影響について、議会に対し日々改めて訴えなければならない」と報告書は述べている。

現職および元国家安全保障担当の指導者は、議会がこれらの問題を選挙管理の問題として近視眼的に捉えるのではなく、まさに重要な国家安全保障問題として捉えるよう徹底する責任がある。脆弱性を公表するだけでは、何年も経った後でも、問題の解決には不十分であるように思われる。

幸いなことに、この報告書の著者であるペンシルベニア大学のマット・ブレイズ氏、シカゴ大学のジェイク・ブラウン氏、ノルディック・イノベーション・ラボのハリ・ハースティ氏、Verified Votingのデイビッド・ジェファーソン氏、ノルディック・イノベーション・ラボのマーガレット・マカルパイン氏、そしてDEF CON創設者のジェフ・モス氏は、すぐには承認されないだろうと考えている。中間選挙を前に選挙セキュリティの改善が繰り返し求められているにもかかわらず、議会は明確な行動を一切取ろうとしていない。®

Opinion

Smart Recommendations

Discover More