*本記事は米国・カリフォルニア時間2020年3月17 日にWhiteHat Security社Shweta Khareが寄稿したブログ記事の参考和訳です。

WhiteHat Security社ブログ原文:https://www.whitehatsec.com/blog/2020-election-security-the-urgent-need-to-address-vulnerabilities-in-voting-systems/

Shweta Khare|March 17, 2020

"ロシアのハッカーが2016年の大統領選挙前にフロリダの2つの郡の有権者データベースにアクセスした" (出典: *1)

"2017年のサイバーセキュリティ会議「DEFCON」で投票機をハッキングするのに数分しかかからなかった” (出典: *2)

国家やその他のサイバー脅威アクターが私たちの選挙インフラを標的にし続けていることを示す十分な証拠があります。2020年の米国大統領選挙では、サイバー攻撃から選挙システムを守ることが選挙関係者の大きな課題となっています。

選挙の完全性は、選挙システムを運営するソフトウェアとコンピュータシステムに大きく依存しており、外部や内部からの攻撃によって生じるリスクは数多くあります。これらのリスクには、時代遅れで十分にテストされていない投票機、有権者登録データベースへの攻撃、選挙システムを実行するサードパーティベンダーのソフトウェアの脆弱性、進行中の攻撃に対する不十分な監視、そして選挙インフラ全体が含まれます。これらの脆弱性に対処しないと民主主義システムの安定性が損なわれる恐れがあります。

ここでは、攻撃者が頻繁に標的とする、有権者登録データベースと選挙関連のウェブサイトの脆弱性について記載します。政府および州の選挙関係者は、選挙の可用性、機密性、完全性を維持するために有権者登録システムとそのインフラストラクチャの安全性の確保にあらゆる対策を講じなければなりません。

有権者登録データベースの安全性

有権者登録システムは、投票の基礎となるものです。これらのデータベースには氏名、住所、ID番号など何百万人もの有権者情報が保持されるだけでなく、多くの情報源とデータをたえず受信または更新しています。情報源には次のものが含まれます。

  • 米国自動車局(Department of Motor Vehicles)では1993年の有権者登録法(別名:モーター有権者)により、現在多くの有権者登録が開始されています。また、DMVのデータベースは、名前、住所、生年月日、州のID番号などの有権者登録情報を検証するために使用されます。
  • 州のオンライン有権者登録サイト
  • 地方および州の選挙関係者のコンピュータ
  • 有権者登録に関わる他の州機関

一般的な有権者登録システムのアーキテクチャを見ると、データベースが内部および外部ネットワークにどのようにリンクしているかがわかります。

一般的な有権者登録システムのアーキテクチャ

出典:mitre.org

有権者登録システムの多くは何年も前に構築されたもので、これらのレガシーな有権者登録システムは、進化するサイバー攻撃に対して非常に脆弱になっています。有権者の個人情報(PII)と投票登録システムに接続される他のシステムに攻撃者がアクセスする可能性が高まっています。これは全く仮定的な状況ではありません。ブルームバーグの報道によると、2016年にロシアが米国の選挙システムをサイバー攻撃した際には、有権者のデータベースやソフトウェアシステムへの侵入があったとされています。ロシアのハッカーは合計39州のシステムを攻撃したとされています。

ハッカーが有権者登録データベースへのアクセスを得れば、有権者になりすましたり、その他の悪質な目的に利用することができます。

データがどのように流れ、それが投票システムの完全性や有権者データベースの機密性にどのような影響を与えるかを理解することで、漏洩・侵害につながる可能性のある脆弱性やリスクを特定するのに役立ちます。

脆弱性のあるウェブサイトの安全性の確保

"ProPublicaの調査によると、スーパーチューズデーに投票した郡や町の少なくとも50の選挙関連のウェブサイト(約200万人の有権者を占める)が、サイバー攻撃に対して特に脆弱であることがわかりました。このサイトでは、投票の登録方法、投票場所、選挙の当選者などを知ることができます。古いソフトウェア、貧弱な暗号化、不要なコンピューター・プログラムでエンベッドされたシステムなど、セキュリティ上の問題がありました。(出典: *3)

WhiteHat Securityのプロダクトマネージャーであるブライアン・ベッカー氏は以下のように述べています。「情報の可用性はセキュリティの重要な要素であり、選挙関連のウェブサイトを保護することは不可欠です。フロントエンドのウェブサイトやモバイルアプリケーションだけでも、サイバー犯罪者の標的になる可能性があります。このような侵入は、データの操作や損失、あるいは有権者登録の阻止につながる可能性があります。セキュリティプログラムとベストプラクティスを実施するには、州政府と地方自治体が有権者登録システムに関連するすべてのサービスを十分にテストしていることを確認しなければなりません。」

選挙支援委員会(EAC)と国土安全保障省(DHS)の指導を受けた米国の選挙担当者は、資金配分の改善、選挙システムのアップグレード、サイバーセキュリティ意識向上のための訓練などを通じて選挙の安全性を向上させるための対策を講じていますが、安全な選挙を実現するためにはさらに多くのことを行わなければなりません。

選挙システムの安全性に取り組む政府および州の取り組み

政府や州は投票システムのテストや認証により対策を講じていますが、投票システムのセキュリティの問題や失敗の可能性に対応しているのでしょうか。

  • 対策:DHSは、州および郡の選挙システムの遠隔スキャンおよびオンサイトでの評価を実施している。 (*4)
  • 問題点:投票機やそのプログラムに使用されるシステムにおける中核的な脆弱性に対処していない。
  • 対策:一部の選挙関係者は、アルバートセンサーを侵入者検知システムとして導入したと報告しています。(*5)
  • 問題点:侵入をブロックしないリアクティブなアプローチです。

これらの対策やアラートシステムの導入は効果的ですが、完全ではありません。サイバーセキュリティへの積極的な取り組みが不可欠です。このような状況では、アプリケーションセキュリティが有効です。セキュリティ関連システムの欠陥やアプリケーションの弱点を発見し、サイバー攻撃が起こる前に改善策を提案できるためです。

WhiteHatによる2020年選挙のセキュリティ強化

サイバーの脅威の量と強度が増大し、選挙の完全性に深刻な問題が生じています。選挙のプロセスを可能な限り安全にするために、サイバーセキュリティ企業は選挙システムを守るための技術と指針を提供することができます。

WhiteHat Securityは、連邦政府、州政府、地方自治体の各機関と協力して、安全なアプリケーション開発を支援し、Webアプリケーション、選挙システム、およびその他のビジネスシステムを絶えず進化し続ける脅威から保護しています。

WhiteHatは攻撃の成功につながるアプリケーションセキュリティの脆弱性リスクを軽減するために、限られた期間、政府機関に対して以下を無料で提供している(詳細については、electionsecurity@whitehatsec.comまでお問い合わせください。)。

  • WhiteHat Sentinel Dynamicは、業界で実績のある同社の動的アプリケーションセキュリティテスト(DAST)ソリューションです。クラウドベースのSaaSプラットフォームにより本番環境を含むソフトウェア開発ライフサイクル(SDLC)全体を通じてウェブサイトやアプリケーションの脆弱性を正確かつ迅速に検出します。
  • Sentinel Source Essentials Editionは、アプリケーションのソースコードをスキャンして脆弱性を特定し、詳細な脆弱性の説明と改善アドバイスを提供する、高速で自動化されたサービスを提供するWhiteHatのエントリーレベルのSAST製品です。発見された脆弱性は、深刻度に応じて優先順位が付けられ、何を最初に是正すべきかの指針を提供します。

WhiteHat Securityの取り組みの詳細はこちらから資料がダウンロード可能です。https://info.whitehatsec.com/Content-2020-ElectionSecurityAssets_LP.html

出典:

  • (*1) https://apnews.com/a2af9039533b42bba0e4e04af11ecd672 
  • (*2) https://thehill.com/policy/cybersecurity/344488-hackers-break-into-voting-machines-in-minutes-at-hacking-competition
  • (*3) https://gcn.com/articles/2020/03/02/legacy-software-election-sites.aspx
  • (*4) https://www.nytimes.com/2018/09/26/magazine/election-security-crisis-midterms.html
  • (*5) https://statetechmagazine.com/article/2019/11/states-can-get-election-security-assist-albert-sensors


■WhiteHat Security社の製品紹介、お問い合わせ、資料ダウンロード https://www.whitehatsec.com/ntt/

■本件のお問い合わせ先:

NTTセキュリティ・ジャパン株式会社 IoT事業部 <ntts.nsj-it-all@global.ntt>