image credit:twitter Victor Gevers
7月28日、米ラスベガスのシーザーズパレスで開催された世界最大のハッキングイベント「デフコン(DEFCON)」で、世界中から集結した大勢のハッカーたちが、アメリカで実際に使用されている投票機にハッキングを仕掛けることを許された。デフコン25年の歴史の中でも、投票機が登場したのは初めてのことだ。
「Voting Machine Hacking Village」のコーナーで、ハッカーらは30台以上用意された一般的な投票機ならびに投票データーベースに侵入するよう求められた。その狙いは、選挙の結果に影響を及ぼしかねない脆弱性を発見することだ。
でまあ、当然のことながら破られてしまうわけなのだけど、それが結構早かった。
広告
実際にやったら逮捕。だがこの日だけは侵入OK
「選挙当日にやったとしたら逮捕されるだろう行為を行なってください」とイベント主催者の1人であるペンシルバニア大学のマット・ブレイズ教授は宣言。かつてホワイトハウスで国土安全保障省との連絡役を務めていたジェイク・ブラウン氏らが語ったところによると、自社の機器のハッキングなど不可能と主張する企業を黙らせることが狙いだという。A first for @defcon Try new things. pic.twitter.com/XJecEzA0Z7
— Jim Nitterauer (@JNitterauer) 2017年7月28日
「選挙システムをハッキングすることなど不可能という主張が数多くなされていますが、そんなのは嘘っぱちです。そんなことを主張するのは、バカか嘘つきだけですよ」
週末にかけて、ハッカーたちはアメリカの選挙で現役の投票機をいじくり回す機会が与えられた。遠隔的に操作しようと、ハードに物理的に手を加えようとハッキングの方法は自由だ。
Machines in the #VotingVillage include: Sequoia AVC Edge, ES&S iVotronic, Diebold TSX, Winvote, and Diebold Expresspoll 4000
— DEFCON VotingVillage (@VotingVillageDC) 2017年7月28日
#VotingVillageに展示された投票機は、Sequoia AVC Edge、ES&S iVotronic、Diebold TSX、WINVote、Diebold Expresspoll 4000など。
ハッカーの1名がOSの遠隔操作に成功、電子投票ソフトへの侵入も
イベントの公式ツイッターによれば、ハッカー1名が「WINVote」のOSの遠隔操作に成功。選挙データも含め、1時間半で侵入。さらに「Diebold」の機器と電子投票ソフトへの侵入にも1時間で成功した。Greetings from the Defcon voting village where it took 1:40 for Carsten Schurmann to get remote access to this WinVote machine. pic.twitter.com/1Xk3baWdxv
— Robert McMillan (@bobmcmillan) 2017年7月28日
デフコンVotingVillageからお知らせ。カールステンス・シュアマンさんが1時間40分でWINVoteのリモートアクセスに成功。
The "security" of these WINvote machines is so bad. Running WinXP, autorun enabled and hard-coded WEP wifi password. pic.twitter.com/AlOiAPcRra
— Victor Gevers (@0xDUDE) 2017年7月28日
WINVoteのセキュリティは貧弱だ。Win XPで動作、Autorunが有効、ハードコードされたWEP Wi-Fiパスワード。
@VotingVillageDC
……ワイヤレスアクセスのある投票機はないんじゃなかったのかい? おやおや。
Voter database where 1=0?? #VotingVillage pic.twitter.com/ECyuWiGTUv
— DEFCON VotingVillage (@VotingVillageDC) 2017年7月28日
1 = 0の場所に投票者データベース?
@VotingVillageDCデフコンではほかにも、選挙管理委員会の模擬ネットを防衛する青チームとその侵入を試みる赤チームに分かれての対戦が実施されたり、選挙システムの保守を担うセキュリティの専門家からの講演が行われたりもした。
ePollBookの状況:1時間以内に内部データ構造がすでに判明し、リバースエンジニアリング済み。
ブレイズ教授は、このイベントによって投票機に脆弱性があり、より一層のセキュリティが必要であるという認識が広まればと話している。
via:rt/ translated by hiroching / edited by parumo
あわせて読みたい
世界で最も危険人物とされた10人のハッカー(クラッカー)たち
他人事じゃない。世界を震撼させた8つのハッキング事件簿
映画内、いろんな意味でヤバい34のハッキングシーン総集編
車のハッキングはゲームや映画の世界だけではない、いとも簡単に遠隔操作されてしまうことを実証した映像
攻殻機動隊の世界がすぐそこに。ブレインハッキングの恐るべき効果、可能性は無限大
0
4324
223
55
コメント
1. 匿名処理班
こういうのを見ると、もっとヤバイ奴が後ろでにやにやしながら見てるんだろなって思ってしまう
2. 匿名処理班
XPて
3. 匿名処理班
これを見るとインターネット投票日本で導入したら大変なことになりそうだね・・・
ただでさえお役所はIT下手くそなのに
4. 匿名処理班
OSはWindows XPって、どこの国も同じことしてるなぁって。
5. 匿名処理班
WEP Wi-Fiはいくらなんでもだめすぎるだろ・・・
6. 匿名処理班
なんでもかんでもオンラインして「ほーら便利でしょ〜」って言う風潮がろくなもんじゃないんだよ、本当に大事なものはオフラインが基本です。
7. 匿名処理班
アメリカのこういう実を取る姿勢は凄いよな。日本では絶対不謹慎とかなんだで不可能。
8. 匿名処理班
ま、マイナンバー…
9. 匿名処理班
こういうところがアメリカ羨ましいわ
日本に何人ハッカーいるのかわからんけど、そのハッカーと国は連携してほしいわ
どこかの会社が作ったセキュリティソフトだけじゃ足らんよ
10. 匿名処理班
結局は原始的な投票が一番安全ってことだよね。
紙に書いて投票ってのが。
将来的には日本でも電子投票になるだろうけど、その信頼性はやはり揺らぐと思う。
面倒ではあるけど、結局は投票所に足を運んで紙に書いて提出が理想かなぁ。
莫大な電子投票にお金をかけるよりは、投票所に足を運ぶようにするほうにお金をかけた方が良い気がする
11. 匿名処理班
日本「その場で開票して手作業仕分け後に合計数えとる本部宛てにFAX送信が一番や」
12. 匿名処理班
更新渋って既知のウイルス食らってる世の中のセキュリティへの危機感のなさ見てるとそりゃ無理やりアップデートさせるようになるよなって
13. 匿名処理班
ネット環境ではどんなことやっても絶対に破れるだろうな
ネット環境でなくてもだめだろう
結局は選ばれる人の「運」ではありますまいか
14. 匿名処理班
選挙に行かない人を見越しての選挙だもんなぁ、今の選挙ね。
マイナンバーを利用したオンライン選挙なら政党政治もひっくり返るかな?
15. 匿名処理班
紙に書いて投票が安全と決めつけるのもどうなの?
結局は改竄した証拠が残るか残らないかでしょ。
脆弱なシステムを運用するべきではない以外の教訓は無いと思うんだけど。
それは紙に書く時も同じ。
16. 匿名処理班
電力会社の全権限をハックで奪い、ヨーロッパ特有の電気網の
構造を利用し、世界中の経済や人民を混乱させ人類の文化や
生命を奪うというテロリストの小説あったっけ
今回の場合は合法的なものなのでいいけど、ライフラインまで
しょぼかったら小説同様の悲劇につながるぞ
17. 匿名処理班
※7
主にマスコミがだけど、現実的に起こり得ることを想定したら叩かれるからな。
ばっかじゃねーの・・・
18. 匿名処理班
紙投票にもでかい穴はあるだろし、だからオンラインはあかんねんって話でもない気がするけどね。結局は運営のやり方であるとか危機感であるとか倫理観であるとか、そこらへんがどうなってるかって話になるんだと思う。
その意味で、この試みは見習いたいですわ。徹底してる。企業を黙らせるとかw
まあ、オンラインの場合、一発ポカをかましたときの被害の広がり方は、オフラインの時のそれよりもでかくなる様な気はするけど。
19. 匿名処理班
A「今回のハッキング、やっぱ国のシステムだけあって難しかったなー」
B「うん、やっぱ突破するのは無理だったね」
AB((んなわけないだろ。本当に大事なタイミングであっさり侵入させてもらうよ))
20. 匿名処理班
つまりロシアがいかにしてアメリカ大統領選挙に介入してトランプ大統領を誕生させたのかを検証してるわけか(笑)。
21. 匿名処理班
※8
コレは電子投票ソフトが脆弱だからなんとかしろ、と言う話だと思うけれど、なぜマイナンバーの話になるんでしょう。
ちなみに、マイナンバーで成り済ましのリスクが増えることはないと思いますよ。
マイナンバーは写真付きのカードにしないと身分証明書にならないけれど、顔写真がついていない健康保険証は、複数種類の組み合わせで身分証明書になってしまいます。そういう意味では、日本での成り済ましのリスクは元来高かったのです。
22. 匿名処理班
ハッカーって高速タイピングでエンターをターンッをしてるか世界地図の各都市が線で繋がって行くのをやってるイメージ
23. 匿名処理班
改竄されることと、証拠も残さず改竄されることは別だと思うけど、どこまでやれたんだろ。
24. 匿名処理班
きじゃくせいか
25.
26. 匿名処理班
大戦中のエニグマとかパープルを巡る攻防を思い出すね、
提供されたシステム自体フェイクって可能性も有るし、こういう世界は訳がわからん。
27. 匿名処理班
絶対大丈夫なシステムなんてオンオフ関係なくありえないんで、どのリスクを取るのかという問題に結局なってくるんだろうけども、1時間とか1時間半でどうにかなっちゃうのは、さすがに早すぎる。
いいシステムにはそれなりの金がかかる、しかし実際はより安くやる下請けに丸投げ、ってのが日本の公共事業の常だけど、外国も同じなんですかね。
28. 匿名処理班
ハッカーの祭典とかK札乱入しそうだけど、一応技術があるだけでハッキングしてない(証拠掴まれてない)方々が来てるのかな
こういうの日本では出来ないよねえ
29. 匿名処理班
※15
紙で投票は一定期間の保存があるから、不正が疑われたらそれをチェックして数え直しをすればいい。
手書きだから同じ人が書くと筆跡で分かるし、過去にも複数の同じ筆跡があるってことで不正投票が発覚したことがある。
一応手書きでも投票数に応じていくらかの不正はあると言われてる。
ただ結果を逆転させるような不正は起こりにくい。
電子投票は数値を弄ればいいだけで、ハッキングが発覚しなければ不正かどうかが分からない。
※28
日本でもホワイトハッカーのコンテストとか最近やり始めた。
優勝者や成績優秀者は防衛省や警察庁からのスカウト付き。
30. 匿名処理班
優秀な人材発掘に良いじゃない
31. 匿名処理班
だから日本でするならTRONを使った専用の投票システムを作ればいいんだよ
マイナーなものほどハッキングはされにくい
すべての国民に機材を配布すれば選挙だけでなく住民投票を簡単に行えるようになるだろ
32. 匿名処理班
どんな堅牢なシステムでもID・PWがまんま(admin/password)みたいのだと簡単に侵入されるよ
どんなに良く利くブレーキ作ってもアクセルと踏み間違えたら事故になるのと一緒
使う側の意識の問題が重要
33. 匿名処理班
本物は決して名乗り出ないし手口を明かさない…
34. 匿名処理班
回転寿司の注文パネルをハッキングしてその場で宅配ピザを注文したりしてみたい
35. 匿名処理班
紙の不正選挙ってのもあるみたいですけどね。ハッキングと違いますが、同じ人が同じ字で同じ人の投票を書いて入れるだとか、選挙投票時間締め切ってるのに、係員が勝手に投票箱に入れてるだとか
不正選挙でyoutube検索したら出てきます。
にしてもこんな簡単にハッキング出来るとはwww今までの大統領選挙もハッキングとかあったんですかねーww
36. 匿名処理班
フル手作業の日本よりだいぶマシなんじゃないかなあ
人力は不健全だと思う。
37. 匿名処理班
XP使ってる時点でクラックできる事は確定だろ
まあ研究が不十分なだけで、他のOSでも同様にクラックされるんだけどさ
38. 匿名処理班
一番の脆弱性は外部からのハッキング、クラッキングではなく
内部の人間による意図的な操作だと思う
39. 匿名処理班
紙に投票が安心と言ってる人がいるけれど、日本の投票所には鉛筆しか用意されていない。
40. 匿名処理班
※39
ああ、目が見えない場合の配慮は欲しいよね。
……いや、あまり知られていないけれど、配慮は一応ありますよ。
代理投票と点字投票とがあって、「代理投票をおねがいします」と言うと担当者が出てきます。で、誰に入れたいか、どこに入れたいかを本人に聞き、代わりに書いてくれます。「点字投票をおねがいします」だと、対応した用紙と器具を貸して貰えて、案内も付くんだったかな。
私は、使ったことがないので詳しくは分かりませんが、投票所に紙と鉛筆しかなくても、投票所での投票は出来るよう配慮されていたと思いますよ。
41. 匿名処理班
※38
内側からの攻撃に対する脆弱性が存在する事が、外側からの攻撃に対する脆弱性を許容する理由にはならない。
むしろ、外側からの攻撃に強いシステムにあって不正が行われれば、内部の犯行と考えやすいのだから、外側からの攻撃に強くしておくことは不正防止の役に立つと思う。
42. 匿名処理班
※13
それこそ専用のプログラミング言語&専用端末&専用回線とかでも作らんと絶対安心とかは無理だろうなぁ
まあ日本クラスの国家なら政府専用のプログラミング言語くらい作っても良い気がするけど