電子投票は安全性が低く、全く信頼できないという悪評を得てきました。さて、電子投票の悩みのリストに新たな項目が加わることになります。
2010年のワシントンD.C.教育委員会に、ベンダー・ベンディング・ロドリゲスという人物が選出されました。ミシガン大学のハッカー集団が、ベンダーを無記名候補者として当選させ、本物の候補者の票をすべて盗んだのです。ベンダーとは、テレビシリーズ「フューチュラマ」に登場するキャラクターです。
これは、悪質なハッカー集団による悪質な攻撃ではありませんでした。ワシントンD.C.の教育委員会は、選挙の4日前に、ハッカーたちに新しいウェブベースの不在者投票システムをハッキングするよう挑発したのです。ミシガン大学のアレクサンダー・ハルダーマン教授は、2人の大学院生と共に、わずか数時間でその攻撃を実行しました。
電子投票システムのRuby on Railsソフトウェアフレームワークを調査した結果、ハルダーマン氏のチームはシェルインジェクションの脆弱性を利用してシステムに侵入できることを発見しました。これにより、投票用紙の暗号化に使用される「公開鍵」を取得することができました。この公開鍵を入手したハッカーたちは、システム内の既存の投票用紙をすべて改ざんし、その後に追加された本物の投票用紙を偽造品に置き換えることができました。
ハッカーたちがシステムサーバーをいじっていた時、/tmp/ディレクトリ内に投票とは関係のないファイルを発見した。その中には、個々の投票者への指示と各投票者の認証コードが記載された937ページのPDFファイルがあった。悪意のある者がこれらのコードを入手すれば、本物の投票者になりすまして投票できる可能性がある。
研究者たちはネットワークへのハッキングにも成功し、建物内の他のシステムへのアクセスも可能にしました。さらに監視システムにも侵入し、防犯カメラにもアクセスできました。これにより、技術者がサーバーの追加アクティビティに気付かないよう、攻撃のタイミングを計ることができました。
チームがターミナルサーバーへの侵入を試みたとき、イランからの攻撃があることに気づき、IPアドレスをペルシャ湾大学まで追跡しました。チームは、イランを拠点とするハッカーがデフォルトの管理者ログイン(ユーザー名:admin、パスワード:admin)の1つを使用して侵入していることを突き止めました。外部からの攻撃を阻止するため、チームはiptables(サーバー管理者向けソフトウェア)を使用して問題のIPアドレスをブロックし、管理者パスワードをより複雑なものに変更しました。チームはまた、ニュージャージー州、インド、中国からの同様の攻撃もブロックしました。
チームの目玉として、研究者たちは「投票ありがとうございます」というメッセージを「所有しています」に置き換え、15秒後にミシガン大学の応援歌「Hail To The Victors!」を再生するようにサイトをプログラムしました。しかし、システム管理者は2日後まで異常に気づきませんでした。
電子投票に関するハルダーマン氏の結論は、システム構成上のたった一つの欠陥が致命的となる可能性があり、安全なインターネット投票はコンピュータセキュリティの根本的な進歩がなければ実現しないというものでした。「ワシントンD.C.のインターネット投票システムへの攻撃」に関する論文全文をぜひご覧ください。
[ワシントンD.C.のインターネット投票システムへの攻撃 (pdf) The RegisterとGizmodo経由]
気に入りましたか?こちらも気に入るかもしれません…
- ニャンキャットなどのミームがレゴセットになる可能性あり。
- 世界初のカップケーキATM:今年最高の新技術製品?
- 研究者らが、人の言葉を黙らせる音声妨害銃を開発
GeekTechをもっと知るには: Twitter – Facebook – RSS | ヒントを投稿する
