4000万人の有権者の個人情報へのアクセスを含むサイバー攻撃があったことについてイギリスの選挙管理委員会が謝罪

2014年から2022年までに登録されたすべての有権者の名前と住所などの情報に攻撃者がアクセスしていたことについて、イギリスの選挙管理委員会が謝罪しました。なお、攻撃者のアクセスがあったというインシデントの特定は2022年10月のことで、発表までに8カ月かかったことも批判対象となっています。

Public notification of cyber-attack on Electoral Commission systems | Electoral Commission
https://www.electoralcommission.org.uk/privacy-policy/public-notification-cyber-attack-electoral-commission-systems

Electoral Commission apologises for security breach involving UK voters’ data | Electoral Commission | The Guardian
https://www.theguardian.com/technology/2023/aug/08/uk-electoral-commission-registers-targeted-by-hostile-hackers

イギリスの選挙管理委員会によると、攻撃者が最初にシステムにアクセスしたのは2021年8月で、不審な動きが検出され、攻撃者によるアクセスであると特定されたのは2022年10月だったとのこと。

攻撃者がアクセスしたのは選挙管理委員会のメールや管理システム、選挙人名簿のコピーが保存されているサーバーで、保存されていた名簿のコピーには2014年から2022年に有権者登録した人の名前と住所が含まれていました。

今回のサイバー攻撃でアクセス可能だった有権者名簿の個人情報は、それ自体は個人にとって高いリスクをもたらすものではないものの、パブリックドメインの他のデータと組み合わせることで、行動パターンを推測したり、個人を特定してプロファイリングしたりすることが可能だとのこと。

なお、サイバー攻撃は選挙プロセスに影響を与えるものではないと考えられています。

大手紙・The Guardianの取材に対して、サリー大学のコンピューターセキュリティ専門家であるアラン・ウッドワード教授は「選挙人名簿は公開されているものですが、今回のサイバー攻撃は発見されるまでの間、ネットワークの深くまで侵入していました。選挙管理委員会は民主主義の重要な一部分であり、選挙制度は完全に信頼に基づいていますが、今回の問題は人々の信頼を失わせるものです」と指摘しています。

サイバーセキュリティ企業・Proofpointのヨーロッパ担当最高セキュリティ責任者であるアンドリュー・ローズ氏も「『いかなる選挙にも影響を与えるものではなかった』のは幸運ですが、民主主義のプロセスを損なうことは、社会の制御不能化や破滅的変化をもたらす可能性があるので、信じられないほど深刻な問題だといえます。攻撃者の動機や目的は不明ですが、長期間侵入していたという事実は、一般的な動機である金銭的利益以外の何かを求めていたことを示しています」と述べました。