生徒会選挙で生徒のアカウントをハックして勝手にオンライン投票した大規模不正が発覚

by Arnaud Jaegers

生徒が入学時に与えられたメールアドレスを用いて生徒会選挙の投票ができる仕組みになっていた高校で、生徒会長と副会長に当選した2名の候補に対して、あからさまに不正な投票が行われていたことが発覚しました。

Berkeley High student tried to rig his own election, exposing flaw in district's cybersecurity — Berkeleyside
https://www.berkeleyside.com/2019/04/09/berkeley-high-student-tried-to-rig-his-own-election-exposing-flaw-in-districts-cybersecurity

Berkeleysideによると、不正投票が行われたのはカリフォルニア州にあるバークレー高校。学生活動担当ディレクターのJohn Villavicencio氏が、投票結果の推移をチェックしていて不正の疑いを抱き、学校の選挙管理委員であるR.E.Stern氏とともに投票内容をチェック。不正が行われたという確信を得ました。

これはStern氏が作成した、4日分の投票数推移を示したグラフです。2人の調査により、生徒たちは多くが「昼食時」や「放課後」に投票したことがわかっていて、実際にその傾向がうかがえるグラフですが、7人の候補者のうち1人だけ、期間の中央からの投票数がおかしな伸びを見せています。

不正の原因となったのは、バークレー校の中学校・高校に入学した際に与えられる「バークレー統一学区(Berkeley Unified School District：BUSD)」のアカウントです。BUSDアカウントのメールアドレスは姓名を組み合わせたもので、デフォルトのパスワードは「Berkeley」に学生番号を組み合わせていたため、パスワードを変更していない人の場合、名前と学生番号を入手すれば第三者がアクセス可能であったとみられます。

Stern氏が示した、金曜日に行われた投票の一例。「アルファベット順で並べたときに名前が前後に来る」以外に共通点がないはずの生徒たちが、ほとんど間を開けずに同じ候補者に投票しています。

結果、不正を行った人間は失格、アカウントを勝手に利用された人の票は取り消して再投票ということになり、改めて、生徒会長にはJunior Lexie Tesch氏、副会長にはDaijah Conerly氏が選出されました。

これまでもオリエンテーションの中でパスワードを変更するよう呼びかけは行われていたものの、新会長となったTesch氏自身、選挙直前までパスワードの変更を怠っていたため「もし変更していなかったら、私の票もハッキングされていたかもしません」と語っています。