サイバー攻撃に繋がったエストニアの電子投票システムが持つ脆弱性とは

By Dean Terry

1990年代後半から、コンピューターネットワークを利用して各種選挙の投票を行うことができる「電子投票」の活用が世界中のあらゆる場所で進められることが多くなりました。有権者にとっては投票所に出向かなくとも自宅から投票を行うことが可能になり、選挙を管理する組織にとってはコスト面でのメリットや迅速な開票作業を可能にするなどのメリットをもたらすシステムではありますが、当然のようにまだ多くの問題点を抱えていると言えます。

世界でも「電子投票先進国」ととらえられているエストニアでは国政レベルにまで電子投票が浸透しているのですが、同時に大きなサイバー攻撃を受けるなどのデメリットがあるのも事実。そんなエストニアにおける電子投票の現状について研究チームが実施した調査の報告書が公表されています。

Our Findings | Independent Report on E-voting in Estonia
https://estoniaevoting.org/findings/

How Russia could easily hack its neighbors’ elections
http://www.washingtonpost.com/blogs/the-switch/wp/2014/05/13/how-russia-could-easily-hack-its-neighbors-elections/

2007年4月、エストニア政府は大規模なサイバー攻撃に晒されました。金融機関や政府系機関を標的にしてサーバなどのネットワークを構成する機器に対して攻撃を行うDoS攻撃が行われた事件だったのですが、その背後にはロシアの存在をうわさする声が根強く残っています。

By Jonathan Davis

ちょうど同じ頃、エストニアではソビエト統治下の時代に建てられたソビエト兵士の銅像を郊外に移転しようとする動きがあり、これにたいしてロシア政府が非難の声を挙げていたこともこのうわさを裏付けるものとなっています。国家レベルのサイバー攻撃というと、あたかもスパイ映画に登場する設定のように感じられますが、中国のハッカー集団によるNYタイムズ攻撃(2012年)、アメリカ政府によるイランへのサイバー攻撃など、むしろ現実の世界では日常的に行われている攻撃ということができます。

インターネットセキュリティの調査チームがエストニア国内の状況を調査した報告書が明らかにしたところによると、エストニアに広く導入されている電子投票システム「i-Voting」のぜい弱性を利用することで、攻撃の意思のある第三者や特定の国家は気付かれることなく攻撃を加えることが可能であることが判明しました。

エストニアは世界で最も進んだ電子投票システムを導入している国で、2013年に実施された選挙では全体の4分の1にあたる約25％の有権者が電子投票システムを利用しました。電子投票先進国と言えるその現状について、エストニア国民の多くは「誇りである」と考えているほどです。自宅のPCから投票を行うことを可能にするi-Votingではまず、自分のPCに接続したIDカードリーダーに専用のチップを内蔵したIDカードを挿入したうえでパスワート認証を行い、投票システムにログインして投票します。なお、このIDカードを利用したシステムは電子投票だけでなく、銀行やその他のサービスにも共通で利用されています。

By European Parliament

研究チームの一員でミシガン大学でコンピューターサイエンス分野の准教授でもあるアレックス・ヘルダーマン氏は、エストニア国内で利用されている電子投票システムの安全性を調査するため、実際のシステムと同じ構成を持つダミーシステムを研究室内に構築し、一連の投票の手順でどのような問題があるかという検証を実施。その結果、投票者のコンピューターへのハッキングと、投票システムにマルウェアを仕込むことの両方の方法で、選挙結果を操作できることが判明しました。

ヘルダーマン氏は調査結果について「運営上のセキュリティレベルおよび、投票を管理する組織の一部のプロ意識が極めて欠如していることを明らかにするものです」と厳しく指摘したうえで、同システムは「ハッキングが試みられた際には、システムによって感知および拒絶されることなく乗っ取られる可能性を複数の次元で可能になる」と危険性が極めて高い状態であることを明らかにしています。ヘルダーマン氏がダミーシステム上で検証を行ったところ、個人が投票に使用するPCがマルウェアに汚染されていた場合、ハッカー側は容易にユーザーのIDとパスワードを入手できるうえに、投票内容に手を加えることが可能になりました。また、投票管理システムのサーバーに侵入するマルウェアであるトロイの木馬を忍ばせ、不正に「正規」の投票を行って各政党の投票数を操作して本来とは反対の選挙結果を生みだすことができたといいます。

エストニアで用いられているシステム以外で近年に設計された電子投票システムでは、通信の流れは最初から最後までが完全に暗号化(end-to-end：E2E暗号化)されており、通信内容の安全性を確保するように設計されています。いまや情報の信頼性を高めるためには不可欠ともいえるこの仕組みですが、エストニアで取り入れられているシステムで暗号化される情報は全体のうち部分的なものとなっており、投票者のPC、サーバー構成、選挙管理スタッフの善意にあまりにも依存したセキュリティ対策がとられていることが判明しています。

また、全体的に見て「緩い」管理思想が採られていたことも問題とされています。各投票所の担当者に対して実施されたオリエンテーションにおいて投票用のシステムをセットアップするための手順についてのレクチャーが行われ、システム用のプログラムをサーバーからダウンロードする手順が紹介されるのですが、ここで用いられるのは暗号化されていない通常のHTTP接続によるものでした。

それ以外にも、選挙期間中にかかわらず実施されるシステムの改変作業や使用が許可されていない個人のUSBメモリを用いた作業、システムの不透明性など、調査チームは多くの問題を報告書において列挙しています。

総合的に見て、旧世代の設計思想をもとに作り上げられ、さらに幾度となく繰り返されるプログラム改修によりシステム全体の安全性と信頼性に問題を抱えていると断言せざるを得ないエストニアの選挙システムの実態が浮き彫りにされた形になる調査結果だったわけですが、調査チームは報告書で「エストニアの電子選挙システムは、サーバーと個人PCに信頼を置きすぎており、諸外国からの攻撃の格好の対象となっている」と結論づけ、エストニア政府に対して安全面での懸念が全て改善されるまでシステムの利用停止を進言しました。しかし、それに対してエストニア電子投票委員会は「安全面は解決され、セキュリティに関する手順は全て安全な状態にある」としてオンラインで声明を発表して拒否の姿勢を見せました。

なお、あくまで同国のシステムは安全であると進言を拒み続けるエストニアの姿勢については同国内からも批判の声が挙がっています。

2000年台初頭にi-Votingが導入された当時、その試みは画期的なものであると認識されていましたが、それでもシステム設計者はいくつかの問題を先送りにしたまま運用を開始したことが明らかになっています。先に挙げたようなシステム全体に認証システムの実現などはその最たる例の一つでしたが、「将来改修される必要あり」とされていた保留点が将来においても改修されないまま運用が続けられており、これを原因とした国家レベルのサイバー攻撃を受ける原因の一つになっているとし、調査チームは「将来に改修される可能性はあるものの、現時点ではi-Votingによる電子投票システムの運用は適切でない」と結論づける報告書を発表しています。

(PDFファイル)IVotingReport.pdf
https://estoniaevoting.org/wp-content/uploads/2014/05/IVotingReport.pdf

従来の紙ベースの選挙でも投票結果の操作が行われている可能性が幾度となく取りざたされている現状がある中で、PCとネットのシステムの上に成り立つ電子投票システムはブラックボックスとなっている部分が多く、仮に不正が行われていてもそれをうかがい知ることができない可能性が高いといえます。利便性やコストの面で電子投票システムの導入によるメリットが大きいことは間違いないということができますが、その大前提としては絶対の安全性とそれを運用する組織・個人の意思統一、仮に問題が発生した際にも客観的かつ科学的な調査と迅速な対応が不可欠と言えます。

人間の善意と悪意が混在するインターネットの世界において、性善説のみを判断の基準に置くことは危機的に危険な状況ということができます。現実に沿った設計・運用方針、恣意的で全体をミスリードする可能性のある変更を可能にしてしまう余地の排除、そして誰が運用しても同じ結果を出すことができる仕組み作りが重要であることは、他のどんな社会においても同様に重要なことであると言えそうです。