ロジャー・ジョンストン氏は、アルゴンヌ国立研究所の脆弱性評価チームの責任者です。つい最近、彼と同僚たちは電子投票機へのセキュリティ攻撃を仕掛け、驚くほど簡単に票を盗むことができることを実証しました。さらに驚くべきことに、火曜日には全米各地の投票所にこれらの投票機が設置される予定です。ハーパーズ誌の最近の報道によると、タッチスクリーン式のDiebold Accuvote-TSXは20州で2,600万人以上の有権者が、ボタン式のSequoia AVC投票機は4州で約900万人の有権者が使用する予定です(購読が必要です)。ジョンストン氏は、これらの投票機をハッキングした方法、そして高校生から80歳のおばあちゃんまで、誰でも同じことができる理由を明かします。–エド
アルゴンヌ国立研究所の脆弱性評価チームは、錠前、封印、タグ、アクセス制御、生体認証、貨物セキュリティ、核兵器保障措置など、様々なセキュリティ機器を検証し、脆弱性を発見し、潜在的な解決策を見つけようとしています。残念ながら、この国では選挙セキュリティの研究に利用できる資金が限られています。そこで、私たちは土曜日の午後に行うようなプロジェクトとしてこの研究を行いました。
これは中間者攻撃と呼ばれ、セキュリティデバイスに対する典型的な攻撃です。投票機にマイクロプロセッサなどの電子機器を埋め込むことで、投票を制御したり、不正行為のオンオフを切り替えたりできるようになります。つまり、投票者の意思の伝達を妨害するのです。
ロジックアナライザを使いました。デジタル通信は0と1の連続です。電圧は高くなり、低くなります。ロジックアナライザは高低間の振動電圧を収集し、様々な形式でデジタルデータを表示します。しかし、その方法は様々です。ロジックアナライザ、マイクロプロセッサ、コンピュータなど、交換される情報を確認し、その情報を模倣するために何をすべきかを教えてくれるものなら何でも使えます。
高校の科学フェアに行ったことがありますが、そこでは生徒たちがもっと高度なマイクロプロセッサを使ったプロジェクトをしていました。そこで私たちは、投票者間の通信を傍受しました。片方の機械では投票者がボタンを押しており(押しボタン式の投票機です)、もう片方の機械ではタッチスクリーン上の何かに触れています。そして、機械の知能と投票者間の通信を傍受しました。例えば、私がジョーンズに選挙で勝たせようとしていて、あなたがスミスに投票するかもしれないとしましょう。すると、私のマイクロプロセッサは、あなたがスミスに投票しようとした場合、機械の知能にジョーンズに投票するように指示します。しかし、あなたがどうせジョーンズに投票するのであれば、私は通信を改ざんしません。時には通信を遮断し、時には情報を改ざんし、時にはただ見て通過させるだけです。これが基本的な考え方です。行われている通信を解明し、必要に応じて改ざんし、投票者に送り返す情報も改ざんするのです。
これが可能なのは、私の知る限り、ほとんどの投票機が暗号化されていないからです。オープンスタンダード形式の通信でしか通信できないので、交換される情報を解読するのは非常に簡単です。デジタル電子機器に詳しい人なら、趣味人でも電子機器ファンでも、誰でも解読できるはずです。
タッチスクリーンマシンに埋め込んだデバイスの小売価格は実質10ドルでした。800メートル離れた場所から遠隔操作できるデラックス版が欲しければ、小売価格は26ドルです。大した金額ではありません。RadioShackで買えるくらいです。高校の科学フェアに行ったことがありますが、そこでは生徒たちが、これらのマシンを組み立てるのに必要な機能よりも高度なマイクロプロセッサを使ったプロジェクトをしていました。
こうしたセキュリティテストには資金がないため、eBayで中古機器を購入した人たちに頼りました(今回の場合は、タッチスクリーン式のDiebold Accuvote TS電子投票機と押しボタン式のSequoia AVC Advantage投票機です)。どちらの機器も少し時代遅れで、取扱説明書や回路図もありませんでした。しかし、押しボタン式の機器の場合は2時間もかからずに解決できました。2時間以内に、実行可能な攻撃を仕掛けることができました。もう1台の機器の場合は、タッチスクリーンディスプレイの仕組みを完全に理解していなかったため、もう少し時間がかかりました。そのため、そちらでは学習時間がありました。ただし、それはわずか2、3日のことでした。まるで魔法のようなものです。たくさん練習する必要があります。私たちがたくさん練習すれば、あるいはさらに良いことに、手先の器用な人に2週間練習してもらえば、15秒から60秒でこれらの攻撃を実行できるようになります。
おばあちゃんが選挙をハッキングできないところまで持っていきたい。でも、まだそこまでには至っていません。攻撃には物理的なアクセスが必要です。選挙用に機械をプログラムしたり設置したりする内部の人間にとっては簡単です。そして、部外者にとっても通常はそれほど難しくないと私たちは主張します。多くの投票機は教会の地下室、小学校の体育館、廊下などに放置され、選挙の1、2週間前から無人になっています。普通は誰でも開けられるような安っぽいキャビネットロックがかかっていますが、ロックがかかっていないものもあります。投票機が設置されても誰もサインをしません。監視する責任のある人もいません。投票機のシールは、食品や市販薬に見られる不正開封防止包装とあまり変わりません。食品や医薬品の改ざんについて考えてみてください。難しいと思いますか?実際はそうではありません。私たちの選挙管理官の多くは引退した老女であり、ありがたいことに選挙を機能させるのは彼女たちであるが、微妙なセキュリティ攻撃を検知する優秀な労働力とは必ずしも言えない。
シールを確認する人々に、何に注意すべきかについて少し訓練を与えれば、かなり高度な攻撃を検知できる可能性が高まります。内部関係者の身元調査をしっかり行えば、内部からの脅威ははるかに少なくなるでしょう。全体的に見て、優れたセキュリティ文化が欠如しています。投票機に欠陥があっても、優れたセキュリティ文化があれば、良い選挙を実施できます。一方で、素晴らしい投票機があっても、セキュリティ文化が不十分であれば、実際には意味がありません。私たちはもっと大きな視点で見なければなりません。私たちの考えは、「ジェームズ・ボンドを止めるのは常に難しい」ということです。しかし、私はおばあちゃんでさえ選挙をハッキングできないところまで到達したいと考えていますが、まだそこまでには至っていません。
選挙のセキュリティの詳細については、こちらをご覧ください。
