自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明

自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明 - 画像


アメリカ・ジョージア州の州務長官事務所が運営するウェブサイトの脆弱(ぜいじゃく)性により、誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが、海外メディアのProPublicaとAtlanta News Firstによって報じられました。脆弱性をレビューした専門家は、「信じられないほどずさんなコーディング」だったと非難しています。
Security flaw allowed anyone to request cancellation of Georgia voter registrations
https://www.atlantanewsfirst.com/2024/08/05/security-flaw-allowed-anyone-request-cancellation-georgia-voter-registrations/

自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明 - 画像


Cybersecurity Expert Finds Another Flaw in Georgia’s Voter Portal — ProPublica
https://www.propublica.org/article/cybersecurity-expert-finds-another-flaw-in-georgia-voter-portal
ジョージア州の州務長官事務所は2024年7月29日に、有権者登録取り消しのリクエストを送るためのオンラインフォームを公開しました。ところが、フォームが公開された直後に、「有権者の生年月日・社会保障番号の下4桁・完全な運転免許証番号が完全に表示されてしまう」というバグが見つかりました。
これらの情報は有権者登録取り消しのリクエストに必要な情報であり、すでにジョージア州選出のマージョリー・テイラー・グリーン下院議員やブラッド・ラフェンスペルガー州務長官の有権者登録を取り消そうとする試みがあったとのこと。
州務長官事務所の広報担当者であるマイク・ハッシンジャー氏は、このバグは1時間未満で修正されたと報告しています。また、リクエストを受け付けると有権者に通知はがきが届く仕組みになっているとして、実際に悪用される危険性はほとんどなかったとも主張しました。
しかし数日後、サイバーセキュリティ研究者のジェイソン・パーカー氏により、「運転免許証番号を入力することなく、氏名・生年月日・居住する郡という入手が容易な情報だけで、有権者登録取り消しのリクエストを送信できてしまう」という新たな脆弱性が報告されました。実際にジョージア州から引っ越す予定だというパーカー氏は、運転免許証番号の入力を回避してリクエストを送信する方法のデモ動画をProPublicaなどのメディアと共有しています。
Cybersecurity Researcher Shows Flaw with Georgia’s Voter Registration Cancellation Portal - YouTube

右上のワイプに映っているパーカー氏が、有権者登録取り消し申請フォームにアクセスしました。

自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明 - 画像


まずは氏名・居住する郡・生年月日を入力して「NEXT」をクリック。

自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明 - 画像


有権者登録を取り消す理由の選択、引っ越し先の州の入力、運転免許証の有無といった項目に回答。本来であればここで、赤枠で囲った部分に正当な運転免許証番号を入力する必要があります。

自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明 - 画像


しかしパーカー氏は、ここで右クリックしてブラウザのHTMLコードを調べ、運転免許証番号の提出を求める数行のコードを削除。

自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明 - 画像


すると、運転免許証番号の入力フォームが丸ごと消えてしまいました。

自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明 - 画像


そのまま「SUBMIT(提出)」をクリック。

自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明 - 画像


これで、有権者登録取り消しのリクエストが完了しました。この方法を使えば、運転免許証番号なしで他人の有権者登録取り消しのリクエストを送信できてしまうというわけです。パーカー氏によると、この脆弱性を見つけるまでに2時間もかからなかったとのこと。

自治体の公式サイトの脆弱性で誰でも勝手に「他人の有権者登録取り消しのリクエスト」を送信可能だったことが判明 - 画像


ProPublicaの要請でバグについてレビューしたサイバーセキュリティ研究者のザック・エドワーズ氏は、「信じられないほどずさんなコーディング」だったと指摘。「このようなバグが真面目なウェブサイトで発生するとは衝撃的です」と述べ、基本的なテストを行っていればウェブサイトの立ち上げ前に検出できたはずだと主張しています。
ProPublicaとAtlanta News Firstは共同でこの問題を州務長官事務所に警告し、修正されるまでの間は記事の公開を保留にしていたとのこと。ジョージア州の選挙管理ディレクターであるブレイク・エバンズ氏は、「私たちは、提出物が不完全で処理されないことを個人に知らせるエラーメッセージを含めるために、プロセスを更新しました」とコメントし、提出データが不完全なリクエストは受理されないと説明しました。

08/08 07:00

GIGAZINE

関連記事

情報提供元の記事

ジャンルで探す

au WebポータルTOPへ