悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年08月18日(月) 17時00分

電子投票システムメーカーのセキュリティー管理に懸念WIRED

 オハイオ州に本社を持つ米ディーボルド社の子会社、 http://www2.diebold.com/dieboldes/default.htm ディーボルド・エレクション・システムズ社では今年1月、ファイル転送プロトコル(FTP)サイト上に置いてあった同社のソフトウェアが漏洩したのに続いて、この春に会社の事情が外へ漏れてしまうという気まずい事件が起きていた。

 今回は、匿名のハッカーが同社の社内専用ウェブサーバーにセキュリティーを突破して侵入した証拠を提示している。この春、社内メーリングリストのアーカイブ、ソフトウェアのバグに関するデータベース、その他のソフトウェアを持ち出すことに成功したというのだ。

 この匿名ハッカーがワイアード・ニュースに提供したアーカイブには、合わせて1.8GBにもなるファイルが含まれていたが、これはどうやら、ディーボルド・エレクション・システムズ社が「従業員用ウェブサイト」と呼ぶサイトから3月2日(米国時間)に引き出されたものらしい。

 ディーボルド・エレクション・システムズ社は大手の電子投票システム・メーカーで、全米で3万3千台以上の製品が稼働している。同社によると現在も、セキュリティーが突破されたことを調査し、アーカイブの内容を確認している最中だという。

 同社は盗まれたファイルに「注意を要する」情報が含まれていたことは認めたものの、電子投票システムのソフトウェアに対する不正な変更はないことを確信していると述べた。

 「選挙結果を人為的に操作しようとする者が利用できるような情報は、まだ発見されていない」と同社は述べている。

 しかし、従業員用サイトから盗まれたアーカイブが表に出たため、知的財産のセキュリティーに関するディーボルド・エレクション・システムズ社の配慮について、新しい問題点が浮かび上がった、と専門家は指摘している。

 「同社は万全のセキュリティー体制を敷いていると述べているが、今回の件で、徹底されていないことが明らかになった。今回のハッキングは、確かなセキュリティーというイメージを台無しにするものだ」と、 http://www.brynmawr.edu/ ブリンマー大学のレベッカ・メルクーリ助教授(コンピューター科学)は述べた。メルクーリ助教授は、 http://www.notablesoftware.com/RMstatement.html 電子投票システムの導入に反対している。

 今回、侵入の事実を公表した匿名ハッカーは、セキュリティーが甘い同社のFTPサイトから、アクセスが認められていない部外者が1月にソースコードとマニュアルをコピーした手口について書かれたものを読み、その後、ディーボルド・エレクション・システムズ社の従業員用サイトに侵入したという。

 「ほんの数分で、FTPサイトの代わりに設置された『安全な』ウェブサイトにアクセスできた」と、このハッカーは述べている。

  http://www.jhu.edu/ ジョンズ・ホプキンズ大学の研究者たちは先月、FTPサイトから漏洩したソースコードをもとに、ディーボルド・エレクション・システムズ社の投票端末『 http://www.diebold.com/dieboldes/accuvote_ts.htm アキュボートTS』に存在すると思われる深刻なセキュリティー問題の分析結果を公表した。この問題提起に対し、同社は7月30日に http://www.diebold.com/checksandbalances.pdf 反論(PDFファイル)を試みている。

 ディーボルド・エレクション・システムズ社の従業員用サイトから持ち出された社内メーリングリストのアーカイブには、1999年1月から2003年3月までに送受信された膨大な量のメッセージが含まれている。内容を見ると、製品サポートの問題、ソフトウェア新製品の発表、一般的な企業発表といった話題が扱われている。

 「サポート」がテーマの社内メーリングリストの2月7日付けメッセージに、ディーボルド・エレクション・システムズ社研究開発部門の責任者、パット・グリーン氏は次のように書き、同社の従業員用サイトを一時的に閉鎖すると通達している。「私たちは現実にセキュリティーの脅威があるとは思っていないが、この仕事では企業イメージが非常に重要なのだ!」

 この2日前の2月5日には、電子投票反対運動を展開している活動家のベブ・ハリス氏が、ニュージーランドのニュースサイト『スクープ』に、ディーボルド・エレクション・システムズ社のFTPサーバーにある大量のファイルに自由にアクセスできたことを http://www.scoop.co.nz/mason/stories/HL0302/S00036.htm 詳しく報告していた。

 今回事実を公表したハッカーは、『セキュア・ソケット・レイヤー』(SSL)暗号が使われている従業員用サイトのセキュリティーをどう破ったかについては明らかにしなかった。持ち出されたファイルには、同社の選挙サポート担当者に対する3月2日付け歓迎メッセージが入ったログイン・ページのソースコードが含まれていた。これは、この従業員のアカウントが攻撃の対象になった可能性があることを示している。

 社内メーリング・リストのやり取りから判断すると、ディーボルド・エレクション・システムズ社の経営陣は適切な情報セキュリティー対策がわかっていなかったか、自分の都合のいいようにセキュリティー業務を無視することにしたかのどちらかだ、と専門家たちは述べている。

 「企業の非常に重要な情報をインターネットにつながったサーバー上に置いておくなんて、まともな理由があるわけもない。ハッキングしてくれと頼んでいたようなものだ。初めての商品を売ることで頭がいっぱいの新興企業なら、こういう失敗をしでかすかもしれないが」と、 http://www.znq3.com/ 米ZNQ3社のジェフ・スタッツマン最高経営責任者(CEO)は述べている。同社は情報セキュリティー・サービスを提供している。

 しかしディーボルド・エレクション・システムズ社によると、従業員用サーバーには選挙システムのコンパイル済み実行ファイルしか置いておらず、ソースコードは含まれていないという。1月の時点で外部の人間がFTPサーバーからソースコードを入手できたのは「うっかりミス」によるものだった、と同社は認めている。

 また、ディーボルド・エレクション・システムズ社の社内メーリングリストのアーカイブからは、潜在的なセキュリティー問題がほかにもあることがうかがえる。2000年5月にサポート関連のメーリングリストに投稿されたメッセージでは、同社のシステム・エンジニア・マネージャー、タルボット・アイアデイル氏が、FTPサイトの特別な「カスタマー」用セクションにソフトウェアのファイルをパスワード保護もなく置いていた従業員に注意を与えている。このセクションは、アップデート版プログラムその他のファイルを選挙担当官をはじめとする顧客に配布するために設置されたものだった。

 「これでは、ソフトウェアを欲しがっている誰にでも無料で渡すことになりかねない」と、アイアデイル氏は書いていた。

 2002年12月2日、同社ウェブマスターのジョシュア・ガードナー氏は、最終的にFTPサイトを廃止し、従業員用サイトに変えるとメーリングリストで伝えている。このFTPサイトは「アクセス制限がなく、ユーザーの行動を記録する用意もなく、外部の人間が誰でもアクセスできた。FTPはセキュリティー上危険だったため閉鎖した」とガードナー氏は述べていた。

 しかし、それから約2ヵ月経過しても、インターネットユーザーは相変わらずパスワードなしでFTPサイトにアクセス可能で、同社のソフトウェアやマニュアルもダウンロードできたようだ。

 ディーボルド・エレクション・システムズ社によると、FTPサイトも従業員用サイトもすでに閉鎖しており、顧客や現場の人員にも同社のソフトウェアにインターネットではアクセスできないようにしているという。その代わりに、ソフトウェアや専用データは今年1月からCD-ROMで配布しているとのことだ。

 たとえ許可を受けていない個人が投票システムのソースコードにアクセスし、変更できる状態になっていたとしても、そういう恐れもあったというだけで実際にはたいして影響はない、と主張する電子投票の専門家もいる。ディーボルド・エレクション・システムズ社のFTPサイトで前回、問題が起きた後の今年4月、ケネソー州立大学の選挙システムセンターの相談役をしている http://science.kennesaw.edu/~bwilliam/ ブリテン・ウィリアムズ博士は、ジョージア州などいくつかの州では電子選挙システムで実際に使う前にソースコードを慎重にチェックしているという http://www.votescount.com/georgia.pdf 報告を発表した(PDFファイル)。

 しかしスタッツマンCEOの考えによると、ディーボルド・エレクション・システムズ社のインターネット・セキュリティーの問題は、「トップ5に入るような優秀な」企業に依頼してソフトウェア・コードを徹底的に調べてもらい、悪意ある外部の者によって改竄(かいざん)されていないことを保証してもらう必要があるという。

 「信頼を取り戻すためには……1行ごとに細かく見て調査し、知的財産がいまでも正常に機能することを確認しなければならない」と、スタッツマンCEOは述べた。

[日本語版:近藤尚子/湯田賢司]

日本語版関連記事

http://www.hotwired.co.jp/news/news/culture/story/20030513206.html 投票内容を印刷して正確性を期す電子投票装置

http://www.hotwired.co.jp/news/news/culture/story/20030228204.html 電子投票ソフトの欠陥めぐり、元従業員がソフト会社を提訴

http://www.hotwired.co.jp/news/news/technology/story/20021121301.html MSのFTPサーバーから、顧客データベースなど大量の内部資料が流出

http://www.hotwired.co.jp/news/news/technology/story/20000809306.html 米民主党の全国大会は「IT完全対応」


WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ


(WIRED)

http://headlines.yahoo.co.jp/hl?a=20030818-00000004-wir-sci

最新のニュース記事一覧
お問い合わせ