選挙のハッキングは難しい。メッセンジャーを狙ったらよいのでは?

米国のElection Day(選挙の日)が近い。11月8日である。

著者: F-Secure Business Security Insider
日付: 2016年11月02日
読了時間: 1 分

ショーン・サリバン

米国のElection Day(選挙の日)が近い。11月8日である。

米国の選挙は(特に大統領選挙の年の場合)、連邦、州、地方のレベルのあらゆる種類の公選職、すなわち大統領、州知事、上院議員、下院議員、裁判官、州および郡行政委員などのさまざまな候補者が関わる一大イベントである。選挙は、郡レベルで組織され、運営される。米国には3,144の郡および郡相当地区がある。そして、それら各郡の選挙管理委員会により、11月8日の夜に結果が報告される。

それでは、いったいどのようにしたら、たったひと晩のうちにそうした情報をすべてまとめて全国的に発表することが可能になるのだろうか。

その答えは、AP通信(AP)によるところが大きいというのが実情である。

「全国レベルから州議会まで、当確予測を発表することは、APが加盟社や顧客に提供する、なくてはならない重要な機能である。そのような全国および州レベルの選挙において、正確かつ迅速な当確予測を出せるということが、報道機関が投票日の夜に迫力ある開票報道を提供できるかどうかにとってきわめて重大になる。」

—ワシントン支局チーフ、Sally Buzbee(サリー・バズビー)

どこを見ても、APが行っているほどに、現場に則して選挙報道を行っている報道機関は他にはない。当確予測を出すタイミングは政治的な意味合いを持つこともあるため、このことでAPはいくぶん微妙な立場に置かれる。

2016年6月、AP通信はヒラリー・クリントンの民主党指名獲得を報じた。これは、6つの州で投票が行われる前日のことであり、バーニー・サンダーズ上院議員の多くの支持者の怒りを買うこととなった。しかし、それでもNBCやABCなどの放送局はすぐにAPに追従した。そして、そのような流れが出来ていった。これは、AP通信が米国の選挙のプロセスで演ずる役割として過大なものである。

それでは、そうしたプロセスとはどのようになっているのか。

APのサイトの「Products and Services(製品およびサービス)」の「How AP Calls Winners(APがどのようにして当確予測を出すのか)」ページに、次のような説明がある。

ap-calling-races-steps

ステップ 1

現地レポーターが、夜を徹して郡事務官から得票数データを収集する。

ステップ 2

現地レポーターが、ワシントン州スポケーンまたはVote Entry Center(票数入力センター)の票数入力オペレーターへ結果を電話報告する。

ステップ 3

票数入力オペレーターが結果を入力する。

ステップ 4

票数のチェックおよび検証が行われる。

ステップ 5

結果が加盟社のウェブサイトに掲載され、テレビやラジオ、新聞記事などに用いられる。結果の更新は一晩中、そしてその後の数日間も行われる。

現地レポーターと票数入力オペレーター。面白そうだ。もう少し詳しく見てみよう。

以下は、APのサイトの開票集計に関するFAQの一部である。

Q: 票数はどのようにして集計されるのか。

A: 投票締め切りの少し前に、4,000名以上の現地レポーターが郡選挙センターに報告を行う。最初の投票が締め切られた時点で、現地レポーターは、郡によって報告された生の票数を電話報告し始める準備を整えている。そして全国各地のAPの選挙センターに電話を掛ける。

選挙センターでは、総勢800名以上の票数入力オペレーターがそうした電話を受け、各現地レポーターの話を聞きながら、APの開票速報システムに開票状況と各候補の得票数を入力していく。多くの州および郡が開票結果をウェブサイトで発表するため、選挙センターのチームはそれらのサイトもモニターし、同じシステムに結果を入力する。このシステムは結果を表にまとめて、数多くのフォーマットでAPの加盟報道機関および顧客に提供する。

(太字は筆者によるもの)

次の写真は、2012年のAPの東部選挙センターの様子だ。

aps-eastern-election-center-2012

画像の出典元: AP

そういうわけで、800名の票数入力オペレーターが「開票速報システム」に結果を入力するということだ。そして、この時代ということを考えると、そのシステムはおそらくインターネットに接続されているだろう。そうであればおそらく、深層Webにこのシステムを見つけることができるはずだ。

F-Secure Riddlerを使って、まずは「pld:ap.org」を検索してみた。すると171件、ヒットした。次いで検索対象を絞って「pld:ap.org keyword:microsoft-iis/6.0」としたところ、16件になった。そのうちの1つに、apvotecount2.ap.orgというサーバがある。ふむふむ。

riddler-apvotecount2

165.1.159.194 – apvotecount2.org

サーバ名に「2」が付いていることからすると、レガシーなサーバであるようだ。著作権表示も2006年となっている。

ap-vote-count-2

© 2006

検索を続けると、apvotecount.ap.orgが見つかった。IIS 7.0を実行している。

riddler-apvotecount

165.1.190.194 – apvotecount.ap.org

著作権表示が2010年になっている。

ap-vote-count

© 2010

ここで断っておきたい。「AP Vote Count」サイトが、前述の「開票速報システム」であるかどうかについては、私は知るものではない。そうである可能性はかなり高いように思える(もっとも、間違いであっていてほしいと思うが)。

雑感:

・ レガシーなサーバをオンラインに残しているというのは、おそらく(いや実際には、まったくもって)マズイ状況である。

・ 誰でも読めるプレーンなテキスト、暗号化されていないログインページ、HTTPSでない。実によくない状況だ。

・ AP Vote Countサイトは、ニューヨークでホストされているようだが、DDoS軽減サービスの背後に隠れているわけではない。問題がありそうだ。

 

メッセンジャーを狙う

システムが相当分散化されているため、米国の選挙のハッキングは可能性が低いとしよう。

とすると、脅威アクターはどんなことを仕掛けることになるのか。

では、分散化されていないものは何だろうか。それは開票結果のレポートである。それらは、はるかに一元集中的であり、格好のターゲットである。

そのため、APのシステムは、投票日の夜における重大な障害点になる可能性がある。脅威アクターが得票数を書き換えてしまうことはできないだろうが、開票結果が台無しにされてしまうことはあり得る。APの開票速報システムに対してDDoS攻撃が行われたら、開票集計に遅れが生じるかもしれない。現在の政治環境においては、開票結果が遅れると、不正投票の疑惑が広がる。システムがハッキングに対して脆弱であれば、不正な入力が可能であるかもしれず、開票結果のレポートに混乱が生じ、同様の状況に陥る可能性がある。

また、システムが脆弱なら、攻撃者は市場間の裁定取引のために内部へアクセスしようとするかもしれない。あるいは市場の混乱を引き起こすのを目的とするかもしれない。ハッカーが市場を動かしたとしても、初めてにはならないだろう。

market-reaction-to-ap-tweet

2013年4月

AP通信は、@APがハッキングされる直前にスタッフに対して警告を発している: http://t.co/3Bt1dHeNOO

しかし、ダウは140ポイント下落した: http://t.co/rXBYqz5DJy

— Mikko Hypponen (@mikko) April 23, 2013

結論

このような懸念が考え過ぎであってくれればよいと思う。しかし、2016年になって見受けられる、ターゲットを定めたハッキングやDDoS攻撃からすると、私にはそうであるとは思えない。


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中