更新:米国の投票機メーカーは、2000年代初頭に販売されたシステムの一部にリモート アクセス ツールがインストールされていたことを認めた。
4月にロン・ワイデン上院議員(オレゴン州民主党)に送られ、本日公開された書簡(PDF)の中で、投票システムベンダーのES&Sは、2000年から2006年にかけてワイデン議員の地元オレゴン州の地方自治体に販売したマシンの一部に、技術サポート用のリモートアクセスツールであるPCAnywhereの特別に構成されたコピーが含まれていたと述べた。
このソフトウェアは投票機自体ではなく、投票機のスキャン機器の設定や投票用紙のフォーマットなどを管理する選挙管理システム(EMS)端末に搭載されていました。ES&S社によると、これらのシステムは、顧客がトラブルシューティングの最終手段としてサポートスタッフとの接続を開始できるように設定されていたとのことです。
PCAnywhere マシンの使用は、米国選挙支援委員会 (EAC) がすべての選挙管理端末をエアギャップにすることを要求するガイドラインを採用した 2007 年に停止されました。
「投票装置にはリモート接続を可能にするために必要なオペレーティングシステムやリモート接続ソフトウェアが搭載されていないため、このリモート接続サポートモデルはいかなる投票装置(集計装置および/または投票マーク装置)でも使用されたことがなく、また使用されることもできなかったことを理解することも重要です」とベンダーはワイデン氏に伝えている。
「誤解のないよう申し上げますが、ES&Sはこれまで顧客に納品したいかなる投票集計装置にもリモート接続ソフトウェアをインストールしたことはなく、EACの設立前も後も、インストールすることは不可能でした。」
米国の投票機認証機関がハッキングの可能性を調査
続きを読む
しかし、ES&Sからの書簡を最初に入手したサイバーセキュリティジャーナリスト兼作家のキム・ゼッター氏が本日指摘したように、PCAnywhereはセキュリティ面で完全に万全というわけではない。2012年、ハッカーが2006年にPCAnywhereのソースコードを盗んだことを明らかにしたため、シマンテックは顧客に対し、同ソフトウェアの古いバージョンの一部を無効にするよう勧告した。
報告書はまた、ES&Sの信頼性にも疑問を投げかけており、今年初めのニューヨーク・タイムズの記事でES&Sは「当社の投票システムがリモート・アクセス・ソフトウェア付きで販売されたことなど、社内の誰も知らなかった」と述べているとしている。
ES&S社はこの件に関してコメント要請に応じなかった。®
追加更新
ES&S から次のような声明が届きました。
ES&S社は、これまで顧客に納入した投票集計装置にリモート接続ソフトウェアをインストールしたことはなく、また、インストールが可能であったこともありません。2000年から2006年にかけて、ES&S社は郡のワークステーションの技術サポートを目的として、少数の顧客にpcAnywhereリモート接続ソフトウェアを提供していましたが、このソフトウェアは投票機と接触するように設計されておらず、また、投票機と接触することもありませんでした。
