米国のEコマース大手オーバーストックCEOおよびメディチ・ベンチャーズ社長を務めるジョナサン・ジョンソン氏は2月13日、MIT(マサチューセッツ工科大学)が実施したセキュリティ分析について異議を表明、ブロックチェーン基盤のモバイル投票アプリ「Voatz(ヴォーツ)」を支持すると発表した。MITは、Voatzがぜい弱性を抱えており、安全ではないというレポートを公開している。
ブロックチェーン基盤の投票アプリに対するセキュリティ分析
2020年米大統領選に向けた民主党候補者選のひとつ、2月4日開催のアイオワ州党員集会において、モバイル投票アプリが原因で投票結果の取りまとめが大幅に遅れ、再点検の要請などから1週間以上最終的な結果を確定できない結果となっていた。この投票アプリは、ヒラリー・クリントン氏の2016年大統領選挙スタッフが設立した選挙関連システム開発企業「シャドー」が手がけたもの。2019年1月には、NPO団体「アクロニム(ACRONYM)」がシャドーを買収している。
アイオワ州党員集会での問題を受け、MIT(マサチューセッツ工科大学)により、ブロックチェーン基盤のモバイル投票アプリ「Voatz(ヴォーツ)」のセキュリティ分析が実施された。Voatzは50以上の米国選挙で採用された実績をうたっており、2019年10月にも、試験運用のため米オレゴン州のユマティラ郡とジャクソン郡と提携したと発表している。
調査を行った研究者は、「悪意を持つ第三者がユーザーの秘密投票を取り出せるサイドチャネル攻撃も含め、ユーザーの投票を変更・停止、または公開できる」ぜい弱性を発見したと主張した。サイドチャネル攻撃とは、モバイル機器を含めコンピューター・ハードウェアが暗号処理などを行う際に生じる、消費電力・電磁波・処理時間といった微細かつ物理的な変化から秘密鍵やパスワードなどの解析を行い盗み取るという手口だ。正規の情報取得方法ではないチャネル(サイドチャネル)を利用するため、このように名付けられている。
レポートは、その理由によりVoatzは安全ではないと結論づけ、「我々の調査結果は、インターネットを介した電子投票に対する一般的な知識と、選挙の正当性に関する透明性の重要さを示す具体例として役立つ」と付け加えた。
このレポートはニューヨーク・タイムズで紹介されたことから、Voatzはプレスリリースで2月13日に正式に反論を行った。内容は、Android版モバイル投票アプリに基づいており分析時点で少なくとも27バージョン古いこと、実際には選挙では使用していないものであること、Voatzが管理するサーバーにそもそも接続せず正当な投票者としてKYC(本人確認)を通過できていない(正当な投票を行えていない)こと、Voatz管理サーバーの機能を想像した状態で分析していることなどだ。
またVoatzは、情報システムやセキュリティの監査を行うHIRT(CISA Hunt and Incident Response Team)を介して投票アプリのネットワークに標的型攻撃などの証拠があるか独自の分析を実施した。
HIRTの結論は次の通りだ。
「HIRTアナリストは、Voatzネットワークにおいて、脅威となるものの動作、また過去における動作を検出しなかった。HIRTは、Voatzのセキュリティ担当者が、ネットワークを守るため、多層防御による保護と構成を改善できる領域を特定した。HIRTは、大量のデータを送りつけ誤動作・乗っ取りを狙うバッファオーバーフロー攻撃の検知手法(カナリア)、セキュリティ研究者向け検索エンジン(SHODAN)モニター、バグ報奨金システム、セキュリティ専門家チームが実際に攻撃する演習(レッドチーミング)などの予防措置について、Voatzを賞賛する」
技術的な議論の行方は
オーバーストックのジョンソンCEOは、2月13日の声明の中で、詐欺など投票に関する不正行為を防止し、投票者のプライバシーを保護するものと述べてVoatzを支持した。ジョンソンCEOは、選挙におけるテクノロジーに関する議論が、反テクノロジーと反学習というスタンスに転じ、極端になったと指摘した。
「これは、アメリカの進歩を損なうと確信している。この誤った前提は、リスクを軽減するだけでなく、投票(システム)に物理的にアクセスできない集団が、接近できるようにする技術の開発・テストの追及を求めている」
翻訳・編集 コインテレグラフジャパン
【関連記事:仮想通貨ビットコイン支持の政治家ヤン氏、大統領候補者争いから脱落】