2020年の米国大統領予備選挙がいよいよ始まります。そんな中、有権者が党の候補者に投票するために情報収集する際、人々は、Webサイトのセキュリティの欠陥が、米国の選挙をオンライン上の偽情報キャンペーンの影響を受けやすくしたり、民主的プロセスに影響を与え選挙を何等かの手段で操作しようとする試みを加速させる可能性があることまで、考えが及ばないかもしれません。
マカフィーは最近、11月の米国大統領選挙で激戦が予測される13州で郡のWebサイトおよび郡選挙管理Webサイトの調査を実施しました。調査結果によると、これらのWebサイトの大部分には、偽のWebサイトをハッカーが立ち上げることを防ぐための米国政府の公式.GOVのWebサイト検証およびHTTPS暗号化といったWebサイトのセキュリティ対策に欠陥が見られました。
目次
.GOVを入手について
.govドメインの重要性について疑問に思われるかもしれませんが、.govのWebサイト名では、購入者が正当な地方、郡、または州の政府機関に代わってこれらの名前を購入しているという証拠を米国政府に提出する必要があります。
一方、.COM、.NET、.ORG、または.USを使用するWebサイトは、正当なWebサイトドメインベンダーからクレジットカードを持っていれば容易に購入が可能です。Webサイト名に.GOVが含まれていないということは、そのサイトが合法的な政府サイトであることを管理する政府当局が検証していないことを意味します。
HTTPS:Webを安全に閲覧する
.GOV Webドメインと同様に、HTTPSおよびWebサイトのアドレスにある鍵アイコンは、その有効性を確立するのに役立ちます。訪問者がこれらのアイコンを見ると、ブラウザがWebサイトと安全に接続していることを意味します。つまり、Webサイトとユーザーは、誰と情報を共有しているかを確信できます。
つまり、ユーザーがサイトと共有する個人有権者登録情報は、サイトにいる攻撃者によって傍受されたり盗まれたりすることはありません。さらに、HTTPSと鍵アイコンは、ユーザーが知らないうちに別のサイトに再ルーティングできないことをユーザーに知らせています。
選挙に与える影響
攻撃者は通常、最小限の労力と最小限のリソースで攻撃を実行しようとします。上記のように対策がされていない場合、投票システムにハッキングして投票数を変更する代わりに、オンライン上の偽情報キャンペーンを実施して、選挙中の投票者の行動に影響を与えることが可能です。これらの攻撃は、公式と思えるようなドメインと関連する電子メールアドレスを使用して偽のWebサイトを設定することにより、投票プロセスを抑制または妨害しようとします。そこから、攻撃者はこれらの偽の電子メールアドレスを使用して、疑いを持たない投票者のメール受信者に、いつ、どこで、どのように投票するかについての誤った情報を送りつけることを目的とした大量の電子メールを送信できます。
誤報メールの例:
その上、ソーシャルメディアプロモーションを使用して、有権者を偽のWebサイトに誘導し、同じ偽情報を提供することもできます。
攻撃者は、間違った場所で投票するために登録するか、単に間違った時間に投票するように投票者に伝えることで、選挙日に投票者を誤った方向に導き、混乱させ、use折させることができました。これは、最終的に投票数に影響を与えるか、少なくとも選挙プロセスに対する投票者の信頼を損なう可能性があります。
調査結果
郡の主要なWebサイトおよび選挙Webサイトの外部セキュリティ対策に関する今回の調査には、アリゾナ、フロリダ、ジョージア、アイオワ、ミシガン、ミネソタ、ネバダ、ニューハンプシャー、ノースカロライナ、オハイオ、ペンシルベニア、テキサス、ウィスコンシンが含まれています。これらの州は合わせて、米国大統領選挙に勝利するために必要な270票のうち201票を占めています。
調査によると、ミネソタ州とテキサス州は.GOV検証の割合がそれぞれ4.6%と5.1%で、調査対象州の中で最低位にランクされました。一方で、アリゾナ州は.GOV検証された主要な郡のWebサイトが66.7%と最も高い割合を占めています。しかし、これでも州内の郡の3分の1のWebサイトがまだ.GOVドメインではないことを示しています。
テキサス州は、HTTPS暗号化の面で最も低く、郡のWebサイトの22.8%しか保護されていません。アリゾナ州は80.0%で郡のHTTPSによる保護をリードし、ネバダ州(75.0%)、アイオワ州(70.7%)、ミシガン州(65.1%)、ウィスコンシン州(63.9%)が続きました。繰り返しますが、これらの「リーダー」州でも、郡の約3分の1がHTTPS暗号化を実施していません。
票を確保するためのポイント
それでは、2020年の選挙に至るまでの投票と選挙制度全体を保護するために有権者は何ができるでしょうか。投票を安全に実施するために、次のポイントをご確認ください。
・最新情報を入手
訪問しているサイトが.GOVドメインのWebサイトであり、情報が正確で安全であることを確認するためにHTTPS暗号化が設定されていることを確認することを忘れないでください。
・不審な点はないか確認
選挙に関連するすべてのメールを注意深く調べましょう。誤報を訴求したい攻撃者は、フィッシング手法を使用して目的を達成しようとします。攻撃者が正当なソースから来たように見える電子メールを作成できるフィッシング電子メールに関連する記事もご確認ください(例:こちら)。
・ソースに直接移動
疑わしい場合は、州の選挙Webサイトにアクセスして、有権者登録に関する一般選挙情報と郡の選挙役員の連絡先情報を入手してください。電子メール、ソーシャルメディア、または選挙日までのWebサイトで受け取った選挙の指示を確認するには、地元の郡職員に連絡してください。
・原点に返る
主要な州および地方自治体が投票情報の送信に米国郵政公社を使用するため、最初に従来の郵便で送信された公式投票文書を信頼してください。
また、常にご自身のオンライン環境を最新の状態にし、ソーシャルメディアやニュースサイトからセキュリティに関する情報収集を行いましょう。
※本ページの内容は、2020年2月3日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Election Website Security: Protect Your Vote in 2020
著者:McAfee