2020年米国大統領選挙のWebサイトに関する調査結果を発表

<ニュースハイライト>

・激戦州の郡の83.3%で米国政府の.GOV検証を

 実施していないWebサイトを使用

・アイオワ州の88.9%の郡のWebサイトが.GOV検証を未実施

・ニューハンプシャー州の90.0%の郡のWebサイトが

 .GOV検証を未実施

・ミネソタ州は.GOV検証を実施していない郡が95.4%と最下位

・激戦州の郡の46.6%が、Webサイトにアクセスする

 有権者を保護するためのHTTPS暗号化を未実装

・一貫性のない基準、覚えやすいネーミング形式の

 ドメイン名がセキュリティリスクに

デバイスからクラウドまでを保護するサイバーセキュリティ企業である

米国マカフィー(McAfee LLC、本社:米国カリフォルニア州)は本日、

新たな調査結果*1を発表し、2020年米国大統領選挙で

勝敗の行方を左右するとみられる13州の郡の選挙Webサイトの一部が

米国政府の.GOV検証とHTTPS暗号化を実施していない

深刻な状況を明らかにしました。

*1 https://www.mcafee.com/enterprise/en-us/2020-elections.html

2020年1月の調査では、これら13州全体で郡Webサイトの

83.3%が.GOV検証されていませんでした。

この検証を経ていないWebサイトはアイオワ州で88.9%、

ニューハンプシャー州では90.0%におよびました。

これらの対応の落ち度は、悪意のある攻撃者が偽の政府Webサイトを

構築し、それらを通じて有権者の行動に影響を与える偽の選挙情報を

拡散し、最終的に選挙結果に影響を与える可能性があります。

マカフィーのシニアバイスプレジデント兼最高技術責任者の

スティーブ・グロブマン(Steve Grobman)は、次のように述べています。

「Webサイトが彼らが主張する政府機関に本当に属しているかどうか、

米国連邦政府の検証プロセスで認証される必要があります。

そうでなければ、正当な政府サイトが

詐欺サイトになりすまされてしまいます。

攻撃者は、誤った情報を与えて投票意思を削いだり

投票率を下げるために、偽の選挙Webサイトを利用します。

激戦州の特定の有権者を標的にして、候補者や、

投票所や投票時間などの投票プロセスに関する

誤った情報を流布するのです。

こうして、悪意のある攻撃者は、投票機器やシステムに

物理的またはデジタル的に干渉することなく

選挙結果に影響を与えることができます。」

.GOVドメインを購入している政府機関は、正当な地方、郡、

または州政府であるという証拠を米国政府に提出しています。

.COM、.NET、.ORG、および.USドメイン名のWebサイトでの

使用には、このような検証プロセスは必要なく、購入が可能です。

つまり、悪意のある攻撃者がこれらのドメインを使用して

正当な郡政府を真似した詐欺ドメインを立ち上げて拡散しても、

政府当局は阻止することができません。

HTTPS暗号化によって、サイトで共有される有権者登録情報が

暗号化されると確約することで、有権者はその情報を

共有している機関に対して大きな信頼を寄せることができます。

.GOV検証と暗号化を未実施のWebサイトでは、

選挙情報を探す有権者は本物の郡の選挙Webサイトに

アクセスしているのか確信が持てず、

悪意のある攻撃者に偽情報を流布する隙を与えてしまいます。

また、グロブマンは次のようにも述べています。

「多くの場合、これらのWebサイトは、

自分たちのコミュニティを悪用するなりすましに遭う可能性よりも、

強力なユーザーエクスペリエンスを提供することに配慮し、

設定されています。

悪意のある攻撃者は、選挙Webサイトを装い、政府機関が

検知するまで多くの有権者を欺くことができます。

選挙日間近の攻撃は、有権者を混乱させ、投票を阻止するおそれがあり、

その結果、票が無効になることや民主主義システムに対する

全体的な信頼が失われることが考えられます。」

<2020年1月の調査結果>

2020年1月にマカフィーは、2020年米国大統領選挙で勝者の

決定を左右すると選挙専門家が指摘する州を調査しました。

その対象は、アリゾナ、フロリダ、ジョージア、アイオワ、

ミシガン、ミネソタ、ネバダ、ニューハンプシャー、

ノースカロライナ、オハイオ、ペンシルベニア、

テキサス、ウィスコンシンの各州です。

これらの州の代議員を合計すると、大統領選挙に勝つために

必要な投票数の270票のうち201票を占めています。

・.GOV検証を実施していない郡:

調査した1,117郡のWebサイトのうち、

83.3%が.GOV検証を実施していません。

ミネソタ州は、.GOV検証に関して、調査対象州の中で

最下位となる95.4%の郡が米国政府の検証を行っていません。

そのほか、.GOV検証実施率が極めて低い州は、テキサス(94.9%)、

ニューハンプシャー(90.0%)、ミシガン(89.2%)、

アイオワ(88.9%)、ネバダ(87.5%)、

ペンシルベニア(83.6%)などでした。

アリゾナ州は、.GOV検証を行った主要な郡のWebサイトの割合が

66.7%と最も高かったのですが、この割合でさえ、同州の郡の

Webサイトの3分の1は検証を行っておらず、数十万人の有権者が

依然として偽情報にさらされる可能性があることを示唆しています。

・HTTPS暗号化未実装の郡:

マカフィーの調査では、郡のWebサイトの

46.6%がHTTPS暗号化を実装していませんでした。

テキサス州は暗号化率が最下位で、郡のWebサイトの77.2%が、

Webサイトにアクセスする有権者を保護できていません。

その他、暗号化されていない郡が多い州にはペンシルベニア州(46.3%)、

ミネソタ州(42.5%)、ジョージア州(38.4%)が含まれます。

・アイオワ州とニューハンプシャー州の評価:

アイオワ州では、郡のWebサイトの88.9%が.GOV検証を

実施しておらず、29.3%がHTTPS暗号化を実装していません。

ニューハンプシャー州の郡のWebサイトの90%は

.GOV検証を実施しておらず、30%が暗号化されていません。

・一貫性のないネーミング基準:

マカフィーの調査により、標準的なネーミング基準を

確立しようとしていた州があったことが明らかになりました。

www.co.[郡名].[2文字の州の略称].usなどです。

残念ながら、これらの形式には一貫性がなかったため、

郡のWebサイトから選挙情報を入手しようとする有権者は、

そうした基準に従うウェブドメインが

実際に正当なサイトであると確信することはできません。

・覚えやすいネーミング形式:

マカフィーは、覚えやすく、ユーザーが親しみやすい

ドメイン名を郡が設定して、なるべく多くの有権者が選挙情報に

アクセスできるようにしている103の事例を見つけました。

例えば、www.votedenton.com、www.votestanlycounty.com、

www.carrollcountyohioelections.gov、www.voteseminole.org、

www.worthelections.comなどです。

このうち、93の郡(90.2%)はサイトにアクセスする有権者を

暗号化で保護していましたが、特別なドメインとWebサイトに対して、

.GOV検証を実施していたのは2郡だけでした。

これは、悪意のある攻撃者が、同じような名前のドメインで

多数のWebサイトを簡単に作成し、

正規サイトになりすますことができることを示しています。

・.GOVへの移行戦略:

オハイオ州の88郡の主要なWebサイトのうち.GOV検証を

実施していたのはわずか19.3%ですが、同州の郡選挙の

Webサイトの75%は.GOV検証によって認証されています。

この主導的な姿勢は、郡選挙関連のコンテンツを

.GOV検証済みのWebサイトに移行するという

州主導のイニシアチブの結果であると思われます。

同州の郡の大部分は、その後、主要な郡のWebサイトと

選挙専用Webサイトを.GOVドメインに、

または選挙専用ウェブページをオハイオ州の.GOV検証済みの

https://ohio.gov/ドメイン

(つまりhttps://www.boe.ohio.gov/vanwert/)に

それぞれ移行しました。

このような.GOV移行戦略は、2020年DOTGOV法*2などの

イニシアチブを通じて、州および連邦政府レベルでより

包括的な取り組みが行われるまで、暫定的な解決策となります。

この法律は、国土安全保障省(DHS)に対し、

技術指導と財政支援によって地方自治体が

.GOVドメインの利用をサポートをするよう求めています。

*2 https://www.mcafee.com/blogs/other-blogs/executive-perspectives/dotgov-online-trust-in-government-legislation-is-critical-to-improving-election-security/

グロブマンは、最後に次のように述べています。

「オハイオ州は、直接、または州が運営する

ohio.govドメインを通じて、選挙Webサイトを.GOVドメインに

移行するために賞賛すべき努力をしてきました。

主要な郡Webサイトのほとんどが、未だ.GOV検証を

実施していませんが、オハイオ州は選挙Webサイトが

正当なものか偽物の可能性があるのかを迅速に評価する

メカニズムを有権者に提供しています。

選挙機能を備えたすべての郡および地方のWebサイトが

.GOVドメインに完全に移行できるようになるまで、

ほかの州もこのような暫定戦略を検討する必要があります。」

* .GOV検証:.GOVドメインを購入する際、

正当な地方、郡、または州政府であるという証拠を

米国連邦政府に提出し取得に至ります。

そのプロセスの課程で提出された情報を

検証することから“.GOV検証”としています。

■McAfee LabsおよびAdvanced Threat Research

McAfee Labs およびMcAfee Advanced Threat Research(ATR)は、

サイバーセキュリティ業界において、脅威調査や

脅威インテリジェンスの主要な情報源であり、

調査研究をリードしています。

McAfee Labs およびATRは、10億を超えるセンサーから収集した

脅威情報を相関分析し、ファイル、Web、メッセージ、

ネットワークに対する最新の脅威情報をリアルタイムに配信して、

セキュリティ対策の強化とリスクの軽減に貢献しています。

■マカフィーについて

マカフィーはデバイスからクラウドまでを保護する

サイバーセキュリティ企業です。業界、製品、組織、そして個人の

垣根を越えて共に力を合わせることで実現するより安全な世界を目指し、

マカフィーは企業、そして個人向けのセキュリティ ソリューションを提供しています。

詳細は https://www.mcafee.com/ja-jp/ をご覧ください。

* McAfee、マカフィー、McAfeeのロゴは、

 米国およびその他の国におけるMcAfee, LLCの商標又は登録商標です。

* その他の会社名、製品名やブランドは、該当各社の商標又は登録商標です。