セキュリティ

自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明


アメリカ・ジョージア州の州務長官事務所が運営するウェブサイトの脆弱(ぜいじゃく)性により、誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが、海外メディアのProPublicaとAtlanta News Firstによって報じられました。脆弱性をレビューした専門家は、「信じられないほどずさんなコーディング」だったと非難しています。

Security flaw allowed anyone to request cancellation of Georgia voter registrations
https://www.atlantanewsfirst.com/2024/08/05/security-flaw-allowed-anyone-request-cancellation-georgia-voter-registrations/


Cybersecurity Expert Finds Another Flaw in Georgia’s Voter Portal — ProPublica
https://www.propublica.org/article/cybersecurity-expert-finds-another-flaw-in-georgia-voter-portal

ジョージア州の州務長官事務所は2024年7月29日に、有権者登録取り消しのリクエストを送るためのオンラインフォームを公開しました。ところが、フォームが公開された直後に、「有権者の生年月日・社会保障番号の下4桁・完全な運転免許証番号が完全に表示されてしまう」というバグが見つかりました

これらの情報は有権者登録取り消しのリクエストに必要な情報であり、すでにジョージア州選出のマージョリー・テイラー・グリーン下院議員やブラッド・ラフェンスペルガー州務長官の有権者登録を取り消そうとする試みがあったとのこと。

州務長官事務所の広報担当者であるマイク・ハッシンジャー氏は、このバグは1時間未満で修正されたと報告しています。また、リクエストを受け付けると有権者に通知はがきが届く仕組みになっているとして、実際に悪用される危険性はほとんどなかったとも主張しました。


しかし数日後、サイバーセキュリティ研究者のジェイソン・パーカー氏により、「運転免許証番号を入力することなく、氏名・生年月日・居住する郡という入手が容易な情報だけで、有権者登録取り消しのリクエストを送信できてしまう」という新たな脆弱性が報告されました。実際にジョージア州から引っ越す予定だというパーカー氏は、運転免許証番号の入力を回避してリクエストを送信する方法のデモ動画をProPublicaなどのメディアと共有しています。

Cybersecurity Researcher Shows Flaw with Georgia’s Voter Registration Cancellation Portal - YouTube


右上のワイプに映っているパーカー氏が、有権者登録取り消し申請フォームにアクセスしました。


まずは氏名・居住する郡・生年月日を入力して「NEXT」をクリック。


有権者登録を取り消す理由の選択、引っ越し先の州の入力、運転免許証の有無といった項目に回答。本来であればここで、赤枠で囲った部分に正当な運転免許証番号を入力する必要があります。


しかしパーカー氏は、ここで右クリックしてブラウザのHTMLコードを調べ、運転免許証番号の提出を求める数行のコードを削除。


すると、運転免許証番号の入力フォームが丸ごと消えてしまいました。


そのまま「SUBMIT(提出)」をクリック。


これで、有権者登録取り消しのリクエストが完了しました。この方法を使えば、運転免許証番号なしで他人の有権者登録取り消しのリクエストを送信できてしまうというわけです。パーカー氏によると、この脆弱性を見つけるまでに2時間もかからなかったとのこと。


ProPublicaの要請でバグについてレビューしたサイバーセキュリティ研究者のザック・エドワーズ氏は、「信じられないほどずさんなコーディング」だったと指摘。「このようなバグが真面目なウェブサイトで発生するとは衝撃的です」と述べ、基本的なテストを行っていればウェブサイトの立ち上げ前に検出できたはずだと主張しています。

ProPublicaとAtlanta News Firstは共同でこの問題を州務長官事務所に警告し、修正されるまでの間は記事の公開を保留にしていたとのこと。ジョージア州の選挙管理ディレクターであるブレイク・エバンズ氏は、「私たちは、提出物が不完全で処理されないことを個人に知らせるエラーメッセージを含めるために、プロセスを更新しました」とコメントし、提出データが不完全なリクエストは受理されないと説明しました。

この記事のタイトルとURLをコピーする

・関連記事
トランプ大統領候補のInstagramとFacebookアカウントが間もなく制限解除へ、2024年の選挙に向けて候補者間の公平性を確保するため - GIGAZINE

AIで生成されたバイデン大統領の「偽音声」電話が多数の有権者にかけられている - GIGAZINE

Twitterユーザーの1%がアメリカ大統領選フェイクニュースの80%を拡散していた、高齢・白人・共和党支持者・女性に多い傾向 - GIGAZINE

選挙で有権者を意図的に騙すディープフェイクと戦うための自主協定にAdobe・Amazon・Google・IBM・Meta・Microsoft・OpenAI・TikTok・Xその他11社が署名 - GIGAZINE

4000万人の有権者の個人情報へのアクセスを含むサイバー攻撃があったことについてイギリスの選挙管理委員会が謝罪 - GIGAZINE

GoogleがAI「Gemini」を選挙に悪用できないよう「回答不能」にする制限を世界中で展開 - GIGAZINE

「投票率243%」というあり得ない数値をたたき出した選挙区域が発生してしまう - GIGAZINE

中国がアメリカ・韓国・インドの選挙をAI生成コンテンツで妨害するだろうとMicrosoftが警告、すでに台湾の総統選挙で使用か - GIGAZINE

バイデン大統領が2024年の大統領選挙から撤退する方針であることが報じられる - GIGAZINE

in ネットサービス,   動画,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.