攻撃者の観点から見た選挙のセキュリティ対策
エグゼクティブ サマリー
この数年で、選挙のセキュリティの調査と支援に Cisco Talos が関わる機会が増えてきました。最近では、4 月に行われた 2 回のウクライナ大統領選挙で同国のセキュリティ サービスを支援しています。こうした経験や、地域の選挙管理委員などとの話し合いを通じて、Talos では選挙のセキュリティに関する理解を深めてきました。選挙管理委員などとの話し合いは、Talos にとって特に重要です。選挙の当事者の専門知識と、セキュリティ分野(特に脅威)に関する Talos の経験や知識を組み合わせれば、自由で公正な選挙を実現するための強力な武器となるからです。
今回の記事では、以下のグループに対して、これまでの調査と実際の経験に基づく推奨事項を取り上げます。各グループには、自由で公正な選挙を妨害しようとする攻撃者に対抗するための、それぞれ異なる役割があります。
- すべての人:選挙システムに対する干渉や攻撃は、民主主義の根幹を揺るがそうとする大規模な組織的攻撃の一部です。この点を理解する必要があります。
- 選挙関係者とセキュリティ専門家:選挙のセキュリティを改善する最善の手段は、両者が連携することです。
- 選挙関係者:選挙のセキュリティに対する関心が高まっている今の状況を最大限に活用すべきです。
- セキュリティ専門家:選挙環境という特殊な性質を理解した上で、慎重を期した最善のアドバイスを提供する必要があります。
- すべての人:民主制度への信頼を強化し、社会的な分裂の不必要な悪化を防ぐために、各自が責務を果たす必要があります。
この記事で説明する選挙妨害シナリオは、どの国でも起こり得ることです。ただし、ここで紹介するシナリオ自体は、選挙における実際のセキュリティ対策に通用するとは限りません。たとえば、投票機での投票結果を改ざんするシナリオですが、そこには非常に大きな障害が立ちはだかります。選挙関連では多様なセキュリティ対策がすでに取られています。それらを過小評価することはできません。
それでは具体的なシナリオを構築しましょう。
攻撃の「理由」と「方法」
敵を理解しようとすれば一般に攻撃「方法」に注目しがちですが、攻撃「理由」も知る必要があります。攻撃者の目的をより的確に推測するには「理由」の把握は不可欠です。そのため、まず地政学的な背景を調べてみましょう。比較的知名度が低い連邦検事
による不明瞭な法的書類から、米国の情報機関が総力を挙げて取り組んだ公式調査結果などの記録も重要ですが、まずは背景からです。
近年の米国選挙では干渉が繰り返しニュースになっていますが、それらの目的は何でしょうか。Foreign Affairs 誌の記事は、なぜ敵が選挙を妨害し、有権者を動揺させようとするのかを説明しています。記事によると、敵は民主主義について、米国が影響力を拡大させる手段だと見なしています。特に 2016 年の大統領選挙では、少なくとも部分的に「米国の民主主義を失速させる」ための意図的な干渉があったと述べています。さらに同記事によれば、この特定の敵が、「民主主義を弱体化させることで西側の影響力の低下を早め、(自国の)地政学的な戦略にとって有利になる」と考えているようです。これが攻撃の「理由」です。
攻撃の「方法」では、ハイブリッド戦争の概念と、「民主主義を破壊するためのロードマップ」という 2 つを考慮する必要があります。ハイブリッド戦争とは、従来の物理(殺人)的な戦争の回避を試みながらも野心的な地政学的戦略を達成するための、国家的な行動を指しています。詳細は割愛しますが、ここで重要なのは、ハイブリッド戦争に従事する攻撃者が情報操作やサイバー攻撃などの「破壊的手段」を駆使してくる点です。
何かを破壊する最も簡単な方法は、どれだけ深いダメージを出そうが「手段を問わない」ことです。そのために攻撃者が使用するのが、民主主義を破壊させるためのロードマップです。これは Diskin 氏と Hazan 氏の論文「なぜ民主主義は崩壊するのか:民主主義が失敗および成功する理由(Why Democracies Collapse: The Reasons for Democratic Failure and Success)」で紹介されたコンセプトです。両氏は論文の中で過去の民主主義について触れ、それらが失敗した根本的な原因を論じています。失敗した共通理由の中でも際立つのは、外国による干渉、民主主義の規範やプロセスに対する歴史的な嫌悪、正常に機能しない経済、そして社会の亀裂です。
今回のシナリオが想定するのは国家的な攻撃、つまり外国による干渉です。しかし世界経済は複雑かつ相互に絡み合っているため、純粋に政治目的で干渉することは危険です。また、最近の米国社会は亀裂が深まりやすい状態にあります。これらの点や論文のロードマップを踏まえた上で、敵の主な目的として、民主主義に対する有権者の信頼を低下させ、米国の分断を広げることだと想定します。
最後に、直近の歴史を振り返りましょう。情報機関の調査によると、2016 年の選挙干渉の背後にいる攻撃者は、米国の民主主義に対する国民の信頼を低下させるだけでなく、特定の候補者を支持する狙いもありました。たとえば Internet Reserach Agency などによる情報操作は、特定の候補者をターゲットにしていましたが、米国内の文化的・社会的亀裂を深める狙いもあったようです。さらに、複数の州の有権者登録データベースといった選挙関連インフラに対するサイバー攻撃も確認されています。
これらの要素をすべて考慮すれば、シナリオを立てるために役立ちます。実際の状況はもっと複雑ですが、ここでは、次のような特徴の攻撃者を想定します。
- 既存の社会的亀裂をさらに広げたいと考えている。
- 民主制度への信頼を低下させたいと考えている。
- 特定の候補者を支持している。
- 有権者登録データベースを攻撃する意欲と能力がある。
- 遠隔地から攻撃を実施する。
侵入経路を探る
敵が有能であれば、格好の餌に目を輝かせて飛びついてきます。そうした「格好の餌」が選挙戦だと言えます。今回のシナリオでは、最初に選挙システムの分析から始めます。つまり侵入経路を探るのです。攻撃者が調査したところ、選挙システムは以下のような要素で構成されることが判明します。
- 有権者登録データベース(VRDB)
- 選挙権を持つ住民の名簿が含まれている、州規模のデータベース。
- 選挙人名簿(電子版)
- VRDB 内の情報の一部を保持する、投票場所内の電子デバイス。有権者がその場所での投票が許可されていることを確認するために、現地の投票担当者によって使用されます。
- 投票デバイス
- 個々の有権者が投票するために操作するデバイス。一般に「投票機」と呼ばれます。
- 投票集計システム
- 実際の投票数を数えるマシン。
- 選挙速報システム(ENR)
- 各地域の結果を照合し、メディアなどに伝えるシステムの集合体。ENR からの結果は非公式ですが重要です。ENR に信頼性がなければ選挙速報が成立しません。
- 内部および一般向けコミュニケーション
- 存在を無視されがちですが、敵の目的を考えれば話が異なってきます。
民主主義を破壊する 4 つの方法
繰り返しになりますが、シナリオで想定する攻撃者の目的は民主主義の破壊です。つまり、西側(民主主義)のイメージや影響力を低下させることで、米国の世界的な影響力を低下させることです。シナリオにおける選挙干渉は、国家の地政学的な野望を達成すべく敵国の政治的混乱を狙った、組織的な大規模攻撃の一部です。
今回の醍醐味は、「敵」を理解するために、「敵」になることです。戦場も目的も理解しており、必要な洗練された技術も備えています。そこで今回は私たちが「敵」側に立ったとして、戦術を考えてみましょう。シナリオでは各部を簡素化しています。
重要な点ですが、シナリオはあくまで仮想の話であり、防御は想定もされていません。つまり、ネットワーク分離、プログラム更新、ファイアウォール、ウイルス対策ソフトウェアなどをはじめ、優秀な IT 人員などもいない、ハッカーにとっての無法地帯です。
シナリオ 1 – 特定の候補者を支援する:ここでは特定の候補者を応援するとします。そこで投票機を直接狙うか、集計システムによる集計結果を狙います。ただし、あからさまに勝たせるのは危険です。発覚した場合の結果は計り知れません。そこで次のシナリオを考慮します。
シナリオ 2 – ENR システムを操作する:勝敗の鍵を握る州の ENR システムを操作すれば、「逆転勝利」も可能です。ただしすぐに発覚するでしょう。長く持っても、公式結果が出るまでの命です。そこで、長年にも及ぶ訴訟や抗議行動を裏で手を引くという手があります。ただしこの手段は接戦でのみ有効です。そこで次のシナリオを考慮します。
シナリオ 3 – 戦術を情報操作に変え、すでに存在する亀裂を深める:まず、ゲリマンダー(特定の政党や候補者に有利な選挙区の区割り)の存在、有権者の抑圧、セキュリティ対策の不足など、すでに選挙問題が起きている州を選びます。次に有権者登録データベースに侵入し、野党側の有権者の 10% について登録を抹消します。それが無理ならば、選挙人名簿をデータの読み込みタイミングで改ざんします。これらの有権者は、暫定票(有権者名簿に名前がなくても仮投票できる投票形式)を投じる事態となります。投票に必要な時間が長くなり、長蛇の列が発生します。メディアの注目を集め、影響を受けている有権者のパターンが発覚し、非難合戦が始まるでしょう。攻撃側にとっては、大量の有権者データを盗み出したことで、今後の情報操作がスムーズになるというメリットもあります。
シナリオ 4 – シナリオ 3 を強化:このチャンスに、APT をフル活用して傷口をもっと悪化させましょう。選挙関係者の間でコミュニケーションを操作し、文書を改ざんすることで、シナリオ 3 の行動を(特定陣営の)意図的なものに見せかけます。実際に起こったことを知っていると主張する「内部の人間」のソーシャル メディア アカウントを作成します。そして最後に、この偽の火種を情報操作担当者に渡します。彼らに任せておけば炎上は確実でしょう。
慌てる前に歴史から学ぶべき
先のシナリオはあくまで架空の話です。選挙のセキュリティを担う何千人もの専門家の意見を聞いたわけでもありません。選挙のセキュリティ対策はここ 3 年間で飛躍的に向上しましたが、その土台となったのは過去数十年間の蓄積です。
そこで頭に浮かぶのが、過去数年間のセキュリティ対策です。選挙のセキュリティ対策は非常に後れを取っていました。そこでセキュリティ業界は、すぐに対策に乗り出しましたが、取り組むのは選挙関連という非常に複雑な問題です。十分に時間を割いて問題を理解しなかったことで対策に失敗し、双方が苛立ちを募るというケースも発生しています。
選挙のセキュリティがいかに複雑であるか、例を挙げてご説明しましょう。2000 年 12 月 13 日の夜のこと、旧行政府ビルではアル・ゴア氏が敗北演説を行い、大統領選挙で激戦を繰り広げたジョージ・W・ブッシュ氏に対して負けを認めました。ニューメキシコ州での得票差は 363 票、フロリダ州ではわずか 537 票でした。この選挙は僅差だっただけでなく、一部には大きな欠陥がありました。MIT の推定によれば、1 億票のうち 400 ~ 600 万票は集計されませんでした。ゴア氏の当時の発言はさまざまな意味で重要なので、それについては後述します。まず、失われた 400 ~ 600 万票に焦点を当てましょう。
議会は超党派でこの事態に対応しました。2002 年に、下院 357 対 48、上院 92 対 2 の賛成多数で米国投票支援法(HAVA)が可決され、選挙支援委員会が設立されました。投票インフラの更新に 36.5 億ドルの予算が確保され、各州には電子的に一元化される有権者登録データベースの導入が義務付けられました。これにより、2000 年の選挙で確認された多くの問題が修正され、より多くの票が適切に集計されるように必要な対策が取られました。しかし、それらの対策は意図しない攻撃対象領域を生み出したのです。セキュリティ専門家が今対策に追われている問題の大部分は、そこに由来しています。
当時の議会は、巨額の資金を一括投入し、選挙システムを再構築するという決定を下しました。経済学的な議論はしませんが、個人的に問題だと感じるのは、これらの資金が毎年供給される保証がないことです。事実、長年にわたって各州に資金が供給されなかったため、システムの保守と更新の費用を州が負担する事態となっています。
歴史から学ぶべき点を簡潔に言えば、選挙におけるコンピュータ導入の歴史は複雑だ、ということです。セキュリティ コミュニティには、テクノロジーとセキュリティに関する豊富な専門知識があります。しかし、米国内に 8,000 以上存在する選挙管轄区域はそれぞれ独自性があります。運営にあたる担当者は、選挙当日を問題無く切り抜けられるよう、少なくとも 1 年以上をかけて準備します。そうした担当者は、緊急対応計画のプロだとも言えます。
重要なポイント
米国では、国家設立時の概念に起因して何千もの異なる選挙区が存在するため、具体的な提案をすることが困難です。それに Talos では、「修正プログラムをインストールしてください」というような機械的な提案を避けています。そこで、3 つの異なるグループ(選挙管理者、セキュリティ コミュニティ、すべての人)に向けた一般的なガイダンスをご説明します。
選挙関係者に対しては、まず謝りたいと思います。突然多くの「セキュリティ専門家」が参入し、すべて知っているかのように振る舞っていることで、事態が悪化しているからです。しかしこれは逆に好機だとも言えます。選挙について世間の関心が久しぶりに高まっている今の状況を最大限に活用すべきです。
ベンダーは選挙のセキュリティ対策で非常に乗り気になっています。今注目を集めるこの問題で流れに乗っておけば、ベンダーの印象もアップするからです。ベンダーの専門家と話し合い、無償のサービスを活用し、追加のトレーニングを受けましょう。セキュリティ対策の一角を担いたいベンダーを、スポンサーとして利用するのです。また、ベンダーとの商談に入る前に、固有の問題全体を彼らが理解しているか確認しましょう。
選挙関係者への具体的な推奨事項:
- ベンダー、特に HAVA の資金投入に合わせて突然現れたベンダーには、多くのことを要求しましょう。
- リソースの制限を明確に伝え、ベンダーの専門家と相談してリソースを適切に割り当てましょう。
- 攻撃者の視点から考え、標的になる可能性が最も高いシステムでの修正やアップグレードを優先させましょう。
- Talos の想定では、最も標的になる可能性が高いシステムは有権者登録データベース(VRDB)と選挙速報システムです。
- これらには、DMV やオンライン登録サービスなどの内部システムや、電子登録情報センターなどの外部システムといった、VRDB と連携するシステムが含まれます。
- セキュリティ専門家になる必要はありませんが、セキュリティ対策で信頼のおけるパートナーを見つけることは必須です。
セキュリティ コミュニティに推奨するのは、最善を尽くすことです。技術面だけでなく、ソフト スキルの面においてもです。選挙関係者は経験が豊富で、その分野に精通しています。愛国心があり勤勉で、各自の責任の重さや、リソースの限界を十分に認識しています。サイバーセキュリティの専門家ではないという理由だけで、彼らを過小評価しないでください。信頼関係を構築し、互いに連携することでセキュリティを改善できるよう取り組んでください。
選挙のセキュリティを取り巻く多くのニュースを把握しておく必要もあります。2016 年以降、事態が大きく動いてきました。米国連邦政府は選挙インフラを重要インフラに位置付けました。それ以前から法執行機関と国家安全保障局が対策を進めていましたが、新たな位置付けによりセキュリティがより重視され、優先順位が上がったのは事実です。また、EI-ISAC が立ち上がり、選挙管理者に脅威インテリジェンスを提供し、ネットワーク モニタリングを支援しています。セキュリティ問題に対処すべく、各州には追加の資金が割り当てられています。2010 年以降では初となる資金投入により、HAVA を通じて 3.8 億ドル以上が各州に分配されました。選挙の脅威についても、攻撃に関連した起訴や報告を通じて、より多くのことが判明しています。これらは大きな進歩だと言えます。
最後に、すべての人に対する推奨事項です。前述のゴア氏の話に戻りますが、大統領選挙で敗北し、投票の数え直しを連邦最高裁が認めなかったことを受けて、同氏は国民の前で思いを語りました。言いたかった文句や不満もあったでしょう。しかし、大統領選挙でスティーブン・ダグラス上院議員がエイブラハム・リンカーンに敗北した際に述べた言葉を引用して、「優先させるのは党ではなく国です。私は大統領を支持します」と発言しました。ダグラスとゴアの両氏は、混乱を悪化させるという誘惑に勝ち、事態を収束させる道を選んだのです。
米国の文化的、社会的、あるいは政治的な亀裂を深めることに、攻撃者は躍起になっています。そのために投入されてきた莫大な資金、時間、技術の量は、攻撃者にとって目標がいかに重大であるかを物語っています。こうした攻撃者に対抗するには、特定の組織に任せるのではなく、すべての人が役割を担う必要があります。標的になっているのは私たち全員だからです。
各自が貢献できるチャンスは無限にあります。選挙問題に限っても、ソフトウェア設計、ネットワーク アーキテクチャ、リソースの割り当てとリスク許容設計などに加え、街頭演説、インタビュー、討論、ツイート、ブログ投稿など、多様な分野が考えられます。これらの分野を通して選挙の透明性と正確性を高めることで、民主主義への信頼を強化し、社会構造を修復することができます。チャンスを逃せば、私たちの敵が労せずして勝利することになります。
各自には賢明な判断が迫られています。
注:選挙のセキュリティ対策についての詳細は、関連トピックを扱った『Beers With Talos』エピソードのポッドキャストをお聴きください。
Tags:本稿は 2019年7月22日に Talos Group
