「電子政府先進国」エストニアの電子投票システムは穴だらけ? ――PacSec 2014リポート 

『THE ZERO/ONE』編集部

November 25, 2014 12:00
by 『THE ZERO/ONE』編集部

世界最先端のセキュリティ・カンファレンス「PacSec 2014」が11月12~13日の2日間にかけ、東京・青山で開催された。このイベントは、カナダのdragostech.com inc.が主催するセキュリティ・カンファレンス「SecWest」シリーズの1つであり、日本での開催は今年で12回目となる。日本以外では、カナダのバンクーバーの「CanSecWest」、イギリスのロンドンもしくはオランダのアムステルダムで開催される「EU-SecWest」、アルゼンチンのブエノスアイレスの「BA-Con」がある。

今年のPacSecには150人程の参加者が集ったが、海外からの参加者が6割、日本からの参加者が4割といった国際色の強いイベントとなった。両日合わせて12のスピーチが行われたが、登壇した日本人は一人だけだった。どのスピーチも興味深いものだったが、特に当サイトの記者が面白いと感じたのが、セキュリティ・リサーチャーのハリー・ハースティ(写真右)、合衆国の選挙監査会計の仇バイザリーを勤めているマーガレット・マクアルパイン(写真左)の両氏による「エストニアのインターネット投票システムのセキュリティ分析(Internet voting and signing legally binding documents over the Internet)」というスピーチだ。本稿ではその内容について紹介したい。

エストニアはヨーロッパ北東部に位置し、面積は九州よりやや大きいほど。人口は約134万人の少国だ。「電子政府の先進国」と呼ばれる同国では、インターネット認証とデジタル署名のための電子証明書を記録した国民IDカードを15歳以上の国民に配布し、行政・民間のサービスを利用できる政策を取っている。また行政のデジタル化を進めており、2007年2月に世界で初めて電子投票も行われた。今回PacSecで行われたスピーチは、そのエストニアの電子投票システムに関するセキュリティに言及したものだ。

2013年、エストニア政府は投票システムの透明性の保つため、電子投票システムの「全体」を公開した。しかし、専門家がチェックしたところ、この公開されたコードは全体の一部でしかなく、主にサーバーサイドのコードでのみであった。おまけに、コードの記述が非常に杜撰なうえ、ソースコードを無断に使用している個所ばかりで、オリジナルコードは10%程度しかなかったという。PacSecの発表者らは「ひどいエンジニアリング技法の数々」と痛烈に非難していた。

発表者らが公開されている他の資料をもとにシステム全体を復元したところ、様々な脆弱性が浮かび上がってきたという。同国の電子投票は、国民IDカードをパソコンに接続したリーダーで読み取り、本人確認を行う仕組みだが、このリーダー本体にはパスワードを送信する機能がない。そのため、PCからパスワードを入力し送信するのだが、キーボードの入力情報を読み出すマルウェアなどを使ってパスワードを盗み出せば、本人を装って投票ができてしまうという。また、サーバーサイドでは、集計サーバーに集められた投票データをチェックする機能が貧弱で、改竄されたデータを送られてもそれをはじく機能がないというから恐ろしい。


電子投票システムの様子。カードリーダーにはハードウェアパスワードが設定されておらず、データの抜き取りやなりすましの危険性がある

また、システムの透明性を確保するため、政府はサーバーの構築や運営の様子をYouTubeで数百時間分も公開しているが、この動画にも様々な問題があったという。例えば、オペレーターがroot権限でログインする際のキーボートの動きがはっきり視認できてしまったり、サーバーの作業員の腰から飛び出したサーバーラックのカギがはっきりと映っていて、3Dプリンターで複製できる可能性があるなど、公開してはいけない情報が映し出されてしまっていたという。


エストニア政府が公開したYouTube動画より。サーバーを保管している鍵が丸見えとなっている

他にも、オペレーションルームに、無線LANのSSIDとパスワードが書かれた紙が貼られていたり、ネットに繋げてはいけない端末のデスクトップに、インターネットを利用するソフトのアイコンが映し出されているなど、かなりお粗末な実態が映しだされてしまっていた。電子投票のシステム自体のセキュリティもそうだが、運用の方法や運営者にも大きな問題を抱えていることがよく分かるスピーチだった。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…