セキュリティ専門家、オレゴン州とワシントン州の選挙で計画されているモバイルアプリに警鐘を鳴らす

モバイル アプリが原因でアイオワ州民主党の党員集会が大混乱に陥ってからわずか 2 週間後、今度は太平洋岸北西部の視点から、モバイル アプリと選挙のセキュリティが再び話題になっています。

Voatzはボストンに拠点を置くモバイル投票アプリ開発会社で、「投票をより安全でアクセスしやすいものにすること」を使命としています。ワシントン州とオレゴン州の一部の郡は、2020年の選挙を含む予備選挙でVoatzを既に使用済み、または使用を計画しています。シアトルの選挙を監督するキング郡選挙管理局は、現時点でVoatzの使用を計画していません。ワシントン州メイソン郡、オレゴン州ジャクソン郡、ユマティラ郡はVoatzの使用を計画しています。

マサチューセッツ工科大学（MIT）の3人の研究者、マイケル・A・スペクター氏、ジェームズ・コッペル氏、ダニエル・ワイツナー氏は、このアプリに関する数々のセキュリティとプライバシーの懸念を概説した研究論文を発表しました。彼らはこれらの懸念を非常に深刻だと捉え、「今回の研究結果は、インターネット投票に反対する一般的な認識と、選挙の正当性における透明性の重要性を具体的に示すものとなる」と述べています。

この報告書が注目に値するのは、過去にも問題の可能性が指摘されていたにもかかわらず、これが初めての詳細かつ学術的な分析であるという点です。そして、徹底的な分析です。著者らは次のように述べています。「Androidアプリのリバースエンジニアリングと、システムに関する入手可能な最小限の資料に基づき、Voatzのセキュリティに関する初の公開分析を提示します。Voatzのサーバーをクリーンルームで再実装し、アプリ自体から見える選挙プロセスの分析を提示します。」

著者らは、発見したセキュリティとプライバシーに関する主要な問題を簡単な図表（下記）で概説しています。

簡単に言えば、投票と投票者情報の機密性と完全性を確保するための保護策に欠陥があるということです。著者らが述べているように、これらの保護策は「様々な種類の攻撃者がユーザーの投票を改ざん、阻止、または公開することを可能にする可能性があります。これには、完全に受動的なネットワーク攻撃者がユーザーの秘密投票を復元できる可能性のあるサイドチャネル攻撃も含まれます。」

言い換えれば、攻撃者はあなたの投票を見たり、投票を変更したり、さらには投票を抑制することさえ可能であり、あなたはそれを知る由もないかもしれません。

研究者らは、アプリのセキュリティ問題に加えて、Voatz の透明性とセキュリティ コミュニティとの関わり、あるいはその欠如という別の重要な懸念事項を指摘しています。

論文全体を通して、著者らはVoatzの透明性の欠如と、より広範なセキュリティコミュニティとの連携の欠如を批判している。透明性に関して、著者らは次のように述べている。

残念ながら、Voatzのシステムに関する公開情報は不完全です。VoatzのFAQ、ブログ、ホワイトペーパーでは、システム全体と脅威モデルについて漠然とした説明しか提供されていません。より詳細な分析結果の公開を求める声や、選挙セキュリティ関係者や選出議員からの懸念にもかかわらず、Voatzは知的財産保護の必要性を理由に正式な詳細の提供を拒否しています。

彼らはこれを、投票技術に関する他のセキュリティレビューと比較しています。

方法論的には、Voatz の透明性の欠如により、私たちの分析は大幅に複雑になりました。私たちが知る限り、導入済みのインターネット投票システム (スイス、モスクワ、エストニア、ワシントン DC を参照) のこれまでのセキュリティ レビューでは、研究者は投票インフラストラクチャに関する重要な情報 (多くの場合、システムの設計やシステム自体のソース コードを含む) を入手していました。

そして関与の点では、Voatz がセキュリティ研究に対して敵対的な姿勢を取り、最終的に FBI が呼ばれることになった最近の事件を思い出します。

さらに悪いことに、2018年にミシガン大学の研究者がVoatzアプリの動的解析を行った際、同社は研究者を悪意のある行為者として扱い、当局に通報しました。その結果、FBIが研究者に対して捜査を開始しました。

セキュリティ研究の世界では、このような敵意は否定的に捉えられており、セキュリティ上の脆弱性が修正のためにベンダーに報告されないようにするための方法であると広く考えられています。

Voatzの脆弱性調査へのアプローチは、公開されているバグ報奨金プログラムにも表れています。このプログラムでは、解決済みの問題はわずか9件で、報奨金は最大2,000ドルとなっています。一方、MicrosoftはElectionGuardプログラムでセキュリティバグに対して最大15,000ドルの報奨金を提供しています。

Voatzはブログでこの報告に反論し、研究者らの手法に疑問を呈し、「悪意のある勧告」を厳しく非難した。透明性とアウトリーチに関して、Voatzは「資格を有する協力的な研究者と協力し、非常にオープンな姿勢を保っている」と述べ、さらに「HackerOneの公開バグ報奨金プログラムを通じて、当社のプラットフォームの最新バージョンを用いて、100人近くの研究者らと協力して彼らの主張をテスト・検証してきた」と述べている。この最後の点は、HackerOneのページに記載されている13人の研究者への感謝、7件の報奨金の授与、9件の解決済み問題との関連性と矛盾している。

Voatzは既に北西部でアプリのセキュリティに関する疑問や懸念に直面している。ロン・ワイデン上院議員（オレゴン州民主党）は最近、オレゴン州の選挙管理当局に書簡を送り、懸念を表明した。

この最新の報告は、アイオワ州民主党アプリの新たな展開の直後に発表された。党員集会の数日後、プロパブリカはボストンを拠点とするセキュリティ企業、バーカコードによる調査を発表し、同アプリのセキュリティ問題が数多くあることを詳述した。

選挙セキュリティの専門家でミシガン大学のコンピューターサイエンス教授のアレックス・ハルダーマン氏は、Vice Motherboardとのインタビューで、この調査は「綿密に」行われたようで、その結果は「Voatzが偽物のように思える」と述べた。

これらの調査結果は新しいもので、選挙管理当局が対策を講じる時間はまだありませんでした。しかし、ここで示された懸念は、Votazをめぐる議論とモバイル投票をめぐる懸念が、全国的にもここ北西部でも、まだ始まったばかりであることを意味します。ハルダーマン氏はツイートの中で、今後どうすべきかについて率直に述べています。「MITの調査結果に基づくと、責任ある管轄区域はVoatzを実際の選挙ですぐに使用すべきではありません。インターネット投票が十分に安全になるには、セキュリティ技術の大幅な進歩が必要です。」