:format(webp)/cdn.vox-cdn.com/uploads/chorus_asset/file/25006193/236828_Pixel_Watch_2_AKrales_0680.jpg "The best deals from Amazon’s October Prime Day sale"){kind=tracking}
ゲッティイメージズ
裁判所や政府が有権者登録や法的手続きを管理するために利用している公記録システムには脆弱性が多く、攻撃者が登録データベースを改ざんしたり、公文書を追加、削除、変更したりすることが可能になっている。
ソフトウェア開発者からセキュリティ研究者に転身したジェイソン・パーカー氏は、過去 1 年間にわたり、全国の何百もの裁判所、政府機関、警察署で使用されている 19 もの商用プラットフォームで数十の重大な脆弱性を発見し、報告しました。脆弱性のほとんどは重大なものでした。
たとえば、ジョージア州の有権者登録取り消しポータルで彼が発見した欠陥の 1 つは、このポータルを訪問した人が、有権者の名前、生年月日、居住地を知っている場合に、その州の有権者の登録を取り消すことができてしまうというものでした。別のケースでは、全国の地方裁判所で使用されている文書管理システムに複数の欠陥があり、権限のない者が、封印されていた精神医学的評価などの機密書類にアクセスできるようになっていました。また、あるケースでは、許可されていない人が、裁判所の書記官のみが利用できるはずの特権を自分自身に割り当て、そこから提出書類を作成、削除、または変更する可能性があります。
最も基本的なレベルで失敗する
これらのシステムが司法、投票権、その他の不可欠な政府機能の管理において果たす重要な役割を誇張することはできません。多数の脆弱性(主に脆弱な権限制御、ユーザー入力の不十分な検証、不完全な認証プロセスに起因)は、何百万人もの国民が毎日依存しているシステムの信頼性を確保する上で十分な注意が欠如していることを示しています。
「これらのプラットフォームは透明性と公平性を保証するはずだが、サイバーセキュリティの最も基本的なレベルで失敗している」とパーカー氏は最近、意識を高めるために書いた投稿の中で書いた。 「有権者の登録がわずかな労力で取り消され、機密の法的提出書類に権限のないユーザーがアクセスできるとしたら、これらのシステムの完全性にとって、それは何を意味するのでしょうか?」
たとえば、ジョージア州の有権者登録データベースの脆弱性には、必要な有権者情報が省略されたキャンセル要求を拒否する自動化された方法がまったくありませんでした。このようなリクエストにフラグを立てる代わりに、システムはフラグを立てずに処理しました。同様に、何百もの政府機関が公文書の管理に使用している Granicus GovQA プラットフォームは、ブラウザ ウィンドウに表示される Web アドレスを少し変更するだけで、パスワードをリセットされ、ユーザー名や電子メール アドレスにアクセスできるようにハッキングされる可能性があります。
また、トムソン・ロイターの C-Track eFiling システムの脆弱性により、攻撃者はユーザーのステータスを裁判所管理者のステータスに昇格させることができました。悪用には、登録プロセス中に特定のフィールドを操作するだけで済みました。
いずれの脆弱性も積極的に悪用された形跡はありません。
この脆弱性の噂は、世界中の 10,000 の法廷が法的手続きの音声とビデオを記録、再生、管理するために使用するアプリケーション パッケージである JAVS Suite 8 のコンポーネントに密かに仕掛けられた悪意のあるバックドアが発見されてから 4 か月後に発表されました。同社の代表者は月曜日、サイバーセキュリティ・インフラセキュリティ庁と協力して実施した調査の結果、マルウェアは2台のコンピュータにのみインストールされ、いかなる情報も侵害されなかったと結論づけたと発表した。代表者によると、このマルウェアは、脅威アクターが JAVS パブリック マーケティング Web サイトに投稿したファイルを通じて入手されたという。
パーカー氏は昨年、ソフトウェア開発者として純粋に自主的にシステムの調査を開始した。彼は電子フロンティア財団と協力して、脆弱性があると発見したプラットフォームを担当するシステム ベンダーやその他の関係者に連絡しました。現在までに、彼が報告したすべての脆弱性は修正されましたが、場合によっては過去 1 か月以内に修正されました。つい最近、パーカー氏はそのようなプラットフォームを専門とするセキュリティ研究者としての職に就きました。
「これらの問題を修正するには、いくつかのバグにパッチを当てるだけでは不十分です」とパーカー氏は書いています。 「法廷および公記録システムにおけるセキュリティの扱い方の完全な見直しが求められています。攻撃者によるアカウントの乗っ取りや機密データの改ざんを防ぐには、堅牢な権限制御を直ちに実装し、ユーザー入力のより厳格な検証を実施する必要があります。定期的なセキュリティ監査と侵入テストは後付けではなく標準的な実践であるべきであり、Secure by Design の原則に従うことはソフトウェア開発ライフサイクルの不可欠な部分であるべきです。」
影響を受ける 19 のプラットフォームは次のとおりです。
パーカー氏は、ベンダーと顧客に対し、侵入テストやソフトウェア監査を実施し、従業員、特にIT部門の従業員を訓練することでシステムのセキュリティを強化するよう呼び掛けている。同氏はまた、多要素認証はそのようなすべてのシステムで普遍的に利用できるべきだと述べた。
「この一連の情報開示は、機密性の高い公的データを管理するすべての組織に対する警鐘である」とパーカー氏は書いている。 「もし彼らが迅速に行動しなければ、その結果は壊滅的なものになる可能性があります。その結果は、その機関だけでなく、プライバシーを守ると誓っている個人にとっても同様です。今のところ、これらのプラットフォームを支える政府機関やベンダーには、ただちに行動を起こし、防御を強化し、多くの人が依存しているシステムの信頼を回復する責任があります。」
