Sponsored Contents

Securityの最新記事

Image credit:
Save

米ネット投票システムに少年ハッカーが続々侵入。Def Conで8~16歳対象のハッキングコンテスト

最速は10分未満

Munenori Taniguchi, @mu_taniguchi
2018年8月14日, 午後07:00 in Security
202シェア
73
80
0
49

連載

注目記事

Hue対抗スマート電球がアイリスオーヤマから。無線LAN搭載で3000円台、スマホ接続にハブも不要

Hue対抗スマート電球がアイリスオーヤマから。無線LAN搭載で3000円台、スマホ接続にハブも不要

View
ROG Phone日本上陸か!? ASUSが11月16日にゲーミングスマホの発表会を開催

ROG Phone日本上陸か!? ASUSが11月16日にゲーミングスマホの発表会を開催

View
ラスベガスで開催されたハッカーのイベントDef Conでは、毎回、オンライン投票の危険性を訴えるためのハッキングデモンストレーションを公開しています。今回は8~16歳の少年たちを対象としたハッキングコンテストが開催され、十数人がシステムへの侵入に成功し、投票結果の改ざんに成功しました。

このコンテストは子供向けハッキングコンベンションとして用意される「r00tz Asylum」セッションの一環として開催され、今年はシカゴ大学と民主党全国委員会が後援しています。

会場には本物と同じ選挙用のオンライン投票システムと参加者ようのコンピューターが用意されました。総勢39人の少年少女が参加し、その実に35人が、開始から30分足らずでシステムへの侵入に成功しました。最短記録を打ち立てたのは11歳の少年で、10分たらずでシステムへの侵入を成功させ、投票結果の改ざんまでをやってのけたとのこと。

ペンシルベニア大学教授のMatt Blaze氏は、ここまで簡単にオンライン投票システムが侵入を許してしまう理由について次のようにコメントしました。

「彼らのように、早くからコンピューターに慣れ親しんでいる聡明な子どもたちにとって、投票システムへの侵入は造作もないことです。なにせ、投票システムがどうしようもなく脆弱なのはわかりきったことなのですから」

「私の興味は、彼らが何人システムを突破できるのかではなく、何秒かかるかということでした」

コンテストには3つの賞典がかけられていました。まず最速侵入賞、2つめはもっとも革新的な手法に贈られる賞、そして3つ目は巧みなソーシャルエンジニアリングを活用したものに贈られる賞。また最年少の侵入成功者にも賞が用意され、総額2500ドルの賞金もありました。

コンテストでは、候補者の名前をたとえば金正恩、ドナルド・トランプ、ボブ・ダ・ビルダー(ボブとブーブーズの主人公)などへ変更することと、各候補者の得票数の変更が参加者に求められました。

一方、全米州務長官協会はこの結果に関して、投票システムのレプリカサイトのシステムは非現実的なものだとコメントしました。

「多くの州はすでに新しいセキュリティプロトコルを採用した独自のネットワークとカスタムされたデータベースを利用しており、これらを複製して用意するのは非常に困難です」

「ウェブサイトがハッカーに対して脆弱なのは否定できないものの、選挙を報じるウェブサイトはメディアと市民のための予備的なシステムとして用意され、非公式の成績を報じるために用意されるだけです。したがってこのサイトを改ざんしたところで、開票集計機器とは接続しておらず、実際の選挙結果に影響を及ぼすことはありません」と説明しました。

しかし、Blaze氏はこのコンテストで使用されたレプリカサイトは実際の選挙用サイトよりも厳しく保護されていると語りました。さらにr00tz Asylumの共同設立者であるNico Sell氏は実際の集計に影響を与えずとも、投票結果を改ざんして報告できるだけで大きな問題だと付け加え「全米州務長官協会はこの結果を真剣に受け止めなければいけません」と警告しました。

「実際の集計結果と報告される結果が異なれば、おおきな混乱を招くことになります。サイトはレプリカであっても子どもたちが突いた脆弱性は決してレプリカではありません」

いずれにせよ、投票システムのセキュリティに関しては改善が必要なことは間違いなさそうです。

202シェア
73
80
0
49

Sponsored Contents