攻撃を受けている：選挙ハッキングが中間者を脅かす方法

3月、38州の役人がマサチューセッツ州ケンブリッジの会議場に詰め込み、戦争ゲームのように実行される2日間の選挙シミュレーション演習を行いました。

120人を超える州および地方の選挙当局者、通信部長、ITマネージャー、および州の秘書が、想像できる最悪の選挙日に起こりうるセキュリティの大惨事をシミュレートする訓練を実施しました。

卓上演習は、11月6日の中間選挙の数か月前に各シミュレーションを開始し、有権者が投票に行ったときに州がリアルタイムで攻撃に対抗するまでタイムラインを加速しました。 サイバー攻撃や情報攻撃から民主的なプロセスを保護するための超党派の努力であるハーバード大学のDefending Digital Democracy（D3P）プロジェクトが主催し、参加者は次々と悪夢のシナリオに対応するように強制されました。 （DDoS）攻撃は、Webサイトを破壊し、候補者に関する誤った情報を漏らし、投票を抑制するために流布した偽のポーリング情報、および国民の攻撃者によって調整された不信をsoくソーシャルメディアキャンペーンを行いました。

世界中の最近の選挙で見たように、複数の攻撃が同時に発生することがよくあります。

「サービス拒否攻撃と、選挙中に使用される通常のフィッシングおよびマルウェアタイプの戦術について考えてください」と、2015年から2017年にかけてアシュトンカーター国防長官のD3Pディレクター兼チーフチーフであるエリックローゼンバッハは述べました。

「私がDDoSで最も懸念するのは、結果を発表するウェブページに対する攻撃とハイエンドです。2014年にウクライナで起こったことを見てください。ロシア人は、ウクライナが選挙結果を発表するために使用していたウェブページをDDoSしました、全員をロシアトゥデイに連れて行き、偽の結果を出しました。ウクライナ人は、実際に大統領に選出されたのは誰なのか混乱していました。」

現代の選挙の安全を理解することは、特に米国では、インフラストラクチャが非常に断片化され、時代遅れであり、完全に保護するには脆弱です。 また、脅威の状況全体でさまざまな種類の攻撃があり、それらをすべて阻止することはできません。

PCMagは、2018年の選挙治安の厳しい現実について、州役人、政治工作員、学者、ハイテク企業、およびセキュリティ研究者に話を聞きました。政治通路の両側、政府のあらゆるレベル、およびハイテク産業全体で、米国選挙に対する根本的なサイバーセキュリティの脅威に取り組んでいます。 また、この重要な中間選挙と2020年の総選挙の両方で、物事がうまくいかなくなったときにどう対応するかを計画しています。

「攻撃面」の保護

サイバーセキュリティでは、攻撃される可能性のあるすべての公開されたシステムとデバイスは「攻撃面」と呼ばれます。 米国の選挙の攻撃面は膨大であり、3つの主要なレベルに分けることができます。

1つは投票インフラストラクチャです。 投票マシン、有権者登録データベース、および投票の場所と方法を人々に伝えるすべての州および地方自治体のWebサイトを考えてください。

次に、キャンペーンのセキュリティレベルがあります。 2016年が示したように、キャンペーンはハッカーにとって簡単な標的です。 盗まれたキャンペーンデータは、3番目の、より曖昧な攻撃レベルの強力な武器として使用できます。それは、凶悪化された誤報と社会的影響キャンペーンの邪悪な世界です。 この面では、国民国家のアクターのトロール軍隊は引き続きウェブ上で活動し、ソーシャルメディアプラットフォームに侵入します。

これらのレベルのそれぞれを悩ましている無数の体系的な問題を解決しようとすると、多くの場合、答えよりも質問が多くなります。 代わりに、選挙のセキュリティリスクを軽減するための戦略の多くは常識に基づいています。紙の投票と投票の監査。 州および地方政府により多くのリソースを提供します。 キャンペーンと選挙管理者向けのツールとセキュリティトレーニングを提供します。

選挙管理者や選挙運動員、そして投票者向けの、より複雑で意見の分かれた質問：ソーシャルメディア時代の選挙プロセスにオンラインの誤報をどのように取り入れますか？ また、画面に表示されるすべてのデジタル情報に疑問を抱いている場合、何を信じるべきですか？

2016年から学んだこと

2018年中期以降の米国の選挙安全保障に関する会話は、最終的に2016年の大統領選挙に戻ります。 そのレースの前に、2000年代半ば以降のキャンペーンや選挙に向けられたサイバー攻撃を見てきましたが、その規模ではこれまでにありませんでした。

「当時、誰もこのようなものを見たことはなかった。ロシアが民主主義に干渉し、特定の候補者に有利になるように影響を与えるほど冷酷だと考えるのは衝撃的だった」と議会前に証言したローゼンバッハは述べた。 2016年の選挙におけるロシアの干渉に関する3月。 「私は20年にわたって国家安全保障で働いてきましたが、これは私がこれまでに扱った中で最も複雑で難しい問題でした。」

この時点で、事実はかなり明確です。 ロシアの軍事intelligence報機関であるGRUで働いているとされる12人のロシア人が、民主党全国委員会（DNC）をハッキングし、20, 000通を超えるメールをリリースしたWikiLeaksを含む組織に文書を漏らしたとして起訴されました。

Guccifer 2.0、Fancy Bear、DCLeaksなどのオンラインペルソナの下で活動しているハッカーは、2016年8月にイリノイ州とアリゾナ州の有権者登録データベースを侵害し、500, 000人以上の有権者に関する情報を盗みました。 その後のFBIおよびNSAのレポートでは、2016年の大統領選挙中に、39州でハッカーが投票ソフトウェアを侵害したことが判明しました。 ロッド・ローゼンシュタイン米国検事総長は、ロシアのハッカーの起訴で、「陰謀の目的は選挙に影響を与えることだった」と述べた。

これらは、選挙インフラストラクチャの最初の2つのレベルを攻撃するだけでした。 ソーシャルメディアでは、ロシア、イラン、およびロシアが支援するInternet Research Agency（IRA）を含むボットおよびトロール工場を解き放ち、偽のニュースを広め、投票者の意見に影響を与えるためにFacebookおよびTwitterで数千の政治広告を購入しました。 Facebookのケンブリッジアナリティカスキャンダルは、外部のハッカーではなく政党にリンクしている一方で、ソーシャルメディアプラットフォームが2016年の選挙にどのように影響したかについても役割を果たしました。

「私たちは十分に速くも強くも反応しませんでした」とローゼンバッハは言いました。 米国国防総省で働いている間、ローゼンバッハは2011年から2014年までサイバー副国防次官補、およびサイバーセキュリティを監督するグローバルセキュリティ国防次官補も務めました。

彼は現在、ハーバード大学ケネディ校のベルファーセンターの共同ディレクターであり、D3Pのディレクターでもあります。 彼は昨年、2012年の選挙でのミットロムニーのキャンペーンマネージャーであるマット・ローデスと、2016年のヒラリークリントンのキャンペーンマネージャーであるロビー・ムックと共同で設立しました。

「セキュリティの観点から理解すべき重要なことは、キャンペーン自体がハッキングされたことがないということです」とMookはPCMagに語った。 「個人の電子メールアカウントがハッキングされ、DNCがハッキングされましたが、エコシステム全体を保護する必要があることは誰にとっても重要な警告だと思います。敵はさまざまな候補に対して情報を武器化するためにどこにでも行きます」

2016年にDNC会長のジョンポデスタの個人的なGmailアカウントをハッキングしたフィッシング攻撃により、Mookはこの規模の攻撃に対応するためのメカニズムが存在しないことに気付きました。 2017年、ロムニーの大統領選挙中に中国のサイバー軍による絶え間ないハッキングの試みに対処したローデスとつながりました。 基本的な考え方は、将来のキャンペーンでこのような悪用を防ぐために行うことのチェックリストを作成し、ハッキングされたときにキャンペーンがどこかに移動するようにすることでした。

2人はRosenbachと連携し、D3Pサイバーセキュリティキャンペーンプレイブックの発行に取り組みました。 それ以来、彼らは他の2つのプレイブックで協力してきました。1つは州および地方の選挙管理者向けで、もう1つはオンラインの誤った情報に対処する方法について通信担当者に呼びかけます。 また、州際の卓上シミュレーションの編成と実行も支援しました。

Mookは2016年についてあまり時間をかけたくありませんでした。 彼が言ったのは、次の戦いに備えることができるとき、最後の戦いを忘れないことです。

「事実は、あなたが誰かがどうやって侵入しようとしているのかわからないということです。 「最も重要なことは、次に何ができるかを考えることです。まだ考慮または確認されていない脅威は何ですか？中間期は潜在的にいくつかの新しい脆弱性を表面化すると思いますが、システムを全体と誰かが入ることができるすべての可能な方法を見つけ出します。」



変化する脅威の状況

2018年の中期に近づき、2020年の米国大統領選挙への長いスローガンに直面するにつれて、脅威の状況が注目され始めています。

トランプ大統領はロシアの干渉の程度を軽視しているが、米国は3月に新しい制裁でロシアを襲った。 「私たちは、米国を弱体化させ、分裂させようとするロシアによる広範なメッセージキャンペーンを見続けています」と、米国情報局長のダン・コートは、8月のブリーフィングで述べました。

それは、Microsoftが7月に、再選に向けて走っている3人の候補者を標的にした偽のドメインを含むハッキングの試みを阻止した後に起こりました。 この話が出版される数週間前に、ロシアの国民はFacebookやTwitterを通じて有権者を操作して中期を妨害する努力を監督したとして告発された。 起訴で名付けられたロシア市民であるエレナ・フシャイノヴァは、IRAに所属する金融および社会的活動を管理しており、ロシアのオリガルヒとプーチンの同盟国であるエフゲニー・プリゴジンが資金を調達した3, 500万ドル以上の予算を行使したと言われています

国家情報局長、国土安全保障省、およびFBIは、起訴とタイミングを合わせた共同声明を発表しました。 中間期には議決権の侵害を受けたという現在の証拠はないが、有権者登録データベースを含め、「一部の州および地方政府は、ネットワークへのアクセスの緩和を報告している」と述べている。

中間選挙の前の最後の数週間、米サイバー司令部は、トロール口座を管理しているロシアの工作員を特定し、選挙の干渉を阻止するための活動を米国が認識していることを伝えています。

「私たちは、ロシア、中国、およびイランを含む他の外国の俳優による、民主的機関への信頼を損ない、国民の感情と政府の政策に影響を与える継続的なキャンペーンを懸念しています」と声明は述べています。 「これらの活動は、2018年と2020年の米国選挙における有権者の認識と意思決定に影響を与えようとする可能性もあります。」

パターンを探す

外国の敵や他の潜在的なサイバー敵からの活動を監視するとき、専門家はパターンを探します。 Toni Gidwaniは、そこにあるすべてのさまざまな悪意のあるエンティティのレーダー配列を調査するようなものだと言いました。 リスクを軽減し、防御の最も弱いリンクを保護するために、早期警告インジケーターを検索します。

Gidwaniは、サイバーセキュリティ企業ThreatConnectの調査運用部長です。 彼女は、過去3年間、ThreatConnectの2016年の米国大統領選挙におけるDNCハックとロシアの影響力の操作に関する研究の先頭に立ってきました。 彼女のチームはGuccifer 2.0をFancy Bearにリンクしました。 Gidwaniは、DoDでキャリアの最初の10年を過ごし、国防情報局で分析チームを構築し、指揮しました。

「多くの異なる面で弦を引っ張る必要がある」とギドワニは言った。 「Fancy Bearは、DNCデータをパブリックドメインに取り込むために多くの異なるチャネルを使用していました。Gucciferはそれらのフロントの1つであり、DCLeaksは1つであり、WikiLeaksは最もインパクトのあるフロントでした。」

ギドワニは、私たちが見た国民国家の悪用をいくつかの異なる活動に分解し、それらが一緒になって多段階干渉キャンペーンを形成しました。 キャンペーンに焦点を当てたデータ侵害は、選挙サイクルの重要な瞬間に戦略的なデータ漏洩をもたらしました。

「スピアフィッシングと中間者攻撃が心配です。パブリックドメインに侵入した場合、その情報は非常に影響力があるため、洗練されたマルウェアは必要ありません。ターゲットとしてのボランティアの流入」と彼女は説明した。 「スピアフィッシングが機能している場合、ゼロデイ脆弱性は必要ありません。」

州の選挙管理委員会への侵入攻撃は、投票マシンのサプライチェーンを混乱させ、選挙結果の妥当性に対する信頼を損なうことを目的とした別の問題です。 ギドワニ氏は、国家から国家への投票インフラストラクチャの時代遅れで細分化された性質が、SQLインジェクションなどの攻撃を引き起こしたと述べました。これは、「攻撃プレイブックの一部ではないことを願っています」だけでなく、効果的でもあります。

これらの操作は、IRAおよび中国、イラン、北朝鮮などの他の国民的行為者によってかき回されたFacebookグループやTwitterトロールアカウントとは大きく異なります。 最終的に、これらのキャンペーンは、政治的なスペクトル全体で感情を揺さぶり、有権者を揺さぶり、政治的な傾斜で調整されたデータ漏洩を増幅することに関するものです。 誤った情報に関しては、氷山の一角だけを発見しました。

「選挙を非常に困難にしていることの1つは、彼らが単一の利害関係者を持たない多くの異なる部分で構成されていることです」とGidwani氏は述べました。 「私たちが取り組んでいる大きな課題は、根本的には技術的な問題ではなく政治的な問題です。プラットフォームは、候補者を確認することで正当なコンテンツをより簡単に識別できるように努力しています。情報セキュリティの世界の外側にいます。」



古いマシンの新しい穴を塞ぐ

最も基本的なレベルでは、アメリカの選挙インフラストラクチャはパッチワークです。時代遅れで不安定な投票マシン、脆弱な有権者データベース、および最も基本的な暗号化とセキュリティさえ欠けている州および地方のウェブサイトの寄せ集めです。

逆に言えば、全国的な投票インフラストラクチャの断片化された性質により、より広範な影響を与えるエクスプロイトよりも魅力の低いターゲットにすることができます。 投票機の時代遅れで、時にはアナログ技術であり、各状態が次の状態とは大きく異なるため、ハッカーは個々のローカライズされたシステムを侵害するために、それぞれの場合に多大な努力を費やす必要があります。 主要なスイング地区の州または地方の投票インフラストラクチャをハッキングすると、選挙結果に絶対的な影響を与える可能性があるため、それはある程度誤解です。

2回前の選挙サイクルで、ジェフウィリアムズは米国の主要な投票機ベンダーに相談しました。 彼の会社は、投票機、選挙管理技術、および投票システムの手動コードレビューとセキュリティテストを行い、多数の脆弱性を発見しました。

ウィリアムズは、コントラストセキュリティのCTOおよび共同設立者であり、Open Web Application Security Project（OWASP）の創設者の1人です。 彼は、多くの場合、セキュリティよりも予算に基づいて購入を決定する地元の地区によって管理される選挙ソフトウェアの古風な性質のため、テクノロジーはそれほど変わっていないと述べました。

「投票マシンだけではありません。選挙の設定、管理、結果の収集に使用するすべてのソフトウェアです」とウィリアムズは言います。 「マシンは高価であるため、寿命が非常に長くなっています。数百万行のコードと、それをレビューしようとする長年の仕事について話しています。セキュリティは実装が複雑で、十分に文書化されていません。はるかに大きな問題の症状です。使用しているソフトウェアで何が起こっているのか、誰も見当がつきません。」

ウィリアムズは、テストおよび認証プロセスにもあまり自信がないと言いました。 ほとんどの州および地方政府は、侵入テストを行う小さなチームを編成しました。これは、Black Hatで話題になったのと同じ種類のテストです。 ウィリアムズは、徹底的なソフトウェア品質保証テストと比較して、これは間違ったアプローチだと考えています。 DefConのVoting Villageにあるようなハッキングコンテストは脆弱性を発見しますが、発見されなかった潜在的なエクスプロイトについてすべてを伝えるわけではありません。

全国的なより体系的な問題は、投票マシンと選挙管理ソフトウェアが州ごとに大きく異なることです。 投票機と認定投票システムを提供するために登録されている主要ベンダーはほんの一握りです。これには、紙投票システム、電子投票システム、またはその2つの組み合わせがあります。

非営利団体Verified Votingによると、アメリカの投票の99％は、さまざまな種類の紙の投票をスキャンするか、直接電子入力することにより、何らかの形でコンピューターによってカウントされます。 Verified Votingの2018年のレポートでは、36の州が依然として安全性が証明されていない投票機器を使用しており、31の州が有権者の少なくとも一部に直接記録型電子投票機を使用していることがわかりました。

最も驚いたことに、デラウェア州、ジョージア州、ルイジアナ州、ニュージャージー州、サウスカロライナ州の5つの州では、有権者が検証した紙の監査証跡のない直接記録型電子投票機を現在使用しています。 そのため、物理的またはリモートのハックによって電子システムで投票数が変更された場合、完全な再集計ではなく、投票の統計的サンプリングのみが必要なことが多い監査プロセスで有効な結果を検証する方法が州にない場合があります。

暗号化されたメッセージングアプリWickrのCEO、Joel Wallenstrom氏は次のように述べています。 「中間期に、ロシア人が何かをしたために結果が現実的ではないという主張がある場合、その誤報の問題にどのように対処しますか。人々は大々的な見出しを読み、システムに対する彼らの信頼はさらに損なわれます。」

州ごとの投票インフラストラクチャを最新の技術とセキュリティでアップグレードすることは、中期的には行われておらず、おそらく2020年以前ではありません。ウェストバージニア州を含む州は、電子投票記録と監査のためのブロックチェーンなどの新しい技術をテストしていますが、ほとんどの研究者とセキュリティ専門家より良いシステムの代わりに、投票を検証する最も安全な方法は紙の証跡だと言います。

「紙の監査証跡は長い間、セキュリティコミュニティの呼びかけであり、中期およびおそらく大統領選挙では、それを持たない大量のマシンを使用することになるでしょう」とウィリアムズは言います。 「これが民主主義に対する実存的な脅威であると言うのは誇張ではありません。」

紙の監査証跡がある州の1つはニューヨークです。 州の最高情報セキュリティ責任者であるデボラ・スナイダーは、最近の国家サイバーセキュリティアライアンス（NCSA）サミットでPCMagに、ニューヨークは推定3500万人の投票者記録がダークウェブで販売されている19州に含まれないと語った。 ただし、公開されているニューヨーク州の有権者記録は、別のフォーラムで無料で利用できるとされています。

州は、投票マシンとインフラストラクチャの定期的なリスク評価を実施しています。 ニューヨークは、2017年以来、州内および他の州および民間部門と提携している情報共有分析センター（ISAC）との連携の両方で、インシデントの監視と対応を改善するために、ローカル侵入検知に数百万ドルを投資しています。

「選挙に至るまで、そして選挙を通じて意識を高めています」とスナイダーは言いました。 「前日の午前6時から選挙日の真夜中までデッキにチームがあります。ニューヨーク州Intelligence報センターからISAC、地方および州の選挙管理委員会、オフィス、ITS、国土安全保障省と救急サービス。」



地方選挙のウェブサイトはアヒルに座っています

州および地方選挙の安全保障で最後に見過ごされがちな側面は、投票する場所と方法を市民に伝える政府のウェブサイトです。 一部の州では、公式サイト間で驚くほど一貫性がほとんどなく、その多くはWebページがSSL暗号化で保護されていることを検証する最も基本的なHTTPSセキュリティ証明書さえも欠いています。

サイバーセキュリティ企業のMcAfeeは最近、20州の郡選挙管理委員会のWebサイトのセキュリティを調査し、30.7％のサイトのみが有権者がデフォルトでWebサイトと共有する情報を暗号化するSSLを持っていることを発見しました。 テキサス州モンタナ州およびウェストバージニア州を含む州では、サイトの10％以下がSSL暗号化されています。 マカフィーの調査では、テキサス州だけでも、236の郡選挙Webサイトのうち217がSSLを使用していないことがわかりました。

WebサイトのURLでHTTPSを探すことで、SSLで暗号化されたサイトを知ることができます。 また、ブラウザに鍵または鍵のアイコンが表示される場合があります。これは、彼らが言うとおりのサイトと安全に通信していることを意味します。 6月、GoogleのChromeは、暗号化されていないすべてのHTTPサイトに「安全でない」というフラグを立て始めました。

McAfee CTOのSteve Grobman氏は、「2018年に中間期の準備のためにSSLを持たないということは、これらの郡のWebサイトがMiTM攻撃やデータ改ざんに対してはるかに脆弱であることを意味します。 「多くの場合、セキュリティで保護されたサイトにリダイレクトしない古いセキュリティで保護されていないHTTPバリアントであり、多くの場合、サイトは証明書を共有します。状態レベルでは、サイトの約11％のみが暗号化されていませんが、地方の郡サイトは完全に安全ではありません。」

マカフィーの調査に含まれる州のうち、メイン暗号化を使用した郡選挙ウェブサイトの50％を超えるのはメイン州のみでした。 ニューヨークはわずか26.7パーセントでしたが、カリフォルニアとフロリダは約37パーセントでした。 しかし、基本的なセキュリティの欠如は話の半分にすぎません。 マカフィーの調査では、郡選挙のウェブサイトのドメインにほとんど一貫性がないことがわかりました。

州の選挙サイトの驚くほど小さな割合は、政府が検証した.govドメインを使用し、代わりに.com、.us、.org、.netなどの一般的なトップレベルドメイン（TLD）を選択しています。 ミネソタ州では、選挙サイトの95.4％が非政府ドメインを使用しており、テキサス州が95％、ミシガン州が91.2％となっています。 この矛盾により、通常の有権者がどの選挙サイトが合法であるかを見分けることはほぼ不可能になります。

テキサス州では、ローカル有権者登録Webサイトの74.9％が.usドメインを使用し、7.7％が.comを使用し、11.1％が.orgを使用し、1.7％が.netを使用しています。.govドメインを使用しているサイトは4.7％のみです。 たとえば、デントンのテキサス郡では、郡選挙のWebサイトはhttps://www.votedenton.com/ですが、McAfeeはwww.vote-denton.comなどの関連Webサイトが購入可能であることを発見しました。

このようなシナリオでは、攻撃者はローカルWebサイトをハッキングする必要さえありません。 同様のドメインを購入し、フィッシングメールを送信するだけで、詐欺サイトから投票するよう登録するように指示することができます。 彼らは偽の投票情報や間違った投票場所の場所を提供することさえできます。

「サイバーセキュリティ全般で見られることは、攻撃者が目標を達成するために効果的な最も単純なメカニズムを使用するということです」とグロブマンは言いました。 「投票マシン自体をハッキングすることは可能かもしれませんが、それには多くの実際的な課題があります。有権者登録システムやデータベースを追跡したり、ウェブサイトを購入したりする方がはるかに簡単です。 GoDaddyの販売ページを見つけるのと同じくらい簡単です。」



キャンペーン：ピースの移動と簡単なターゲット

通常、ハッカーが数千人の臨時従業員が魅力的なマークを作成するキャンペーンなどの控えめな成果を追求するよりも、各郡または州のシステムに侵入するのにより多くの努力が必要です。 2016年に見たように、キャンペーンのデータ侵害と情報漏洩の影響は壊滅的です。

攻撃者はさまざまな方法でキャンペーンに侵入することができますが、最も強力な防御策は、基本事項を確実に封じ込めることです。 D3PのキャンペーンCyber​​security Playbookは、画期的なセキュリティ戦略を明らかにしていません。 これは基本的に、すべてのキャンペーンの従業員またはボランティアが吟味されていることを確認するために使用できるチェックリストであり、キャンペーンデータで作業する人は誰でも2要素認証（2FA）や暗号化されたメッセージングサービス（SignalやWickrなど）を使用します。 また、フィッシング詐欺を発見する方法を認識した上で、常識的な情報衛生の訓練を受ける必要もあります。

Robby Mookは、単純な習慣について話しました。たとえば、不要だとわかっているメールを自動的に削除します。データが存在すると、データが漏れる可能性が常にあるためです。

「キャンペーンは興味深い例です。キャンペーンアカウントと、ドメイン内のデータと情報の保持に関するビジネスルールに2番目の要因があったからです」とMook氏は説明しました。 「振り返ってみると、悪者は多くのスタッフにフィッシングリンクをクリックしてもらいましたが、安全策が講じられていたため、それらの試みは成功しませんでした。人々の個人アカウント。」

キャンペーンのセキュリティには注意が必要です。数千の可動部分があり、多くの場合、最先端の情報セキュリティ保護を一から構築する予算や専門知識がありません。 ハイテク業界はこの分野で歩みを進めており、中期に至るまでのキャンペーンに多数の無料ツールを提供しています。

AlphabetのジグソーパズルはProject Shieldを通じてキャンペーンにDDoS保護を提供し、Googleは政治キャンペーンを保護するために高度なアカウントセキュリティプログラムを拡張しました。 マイクロソフトはOffice 365で政党に無料のAccountGuard脅威検出を提供し、この夏、同社はDNCとRNCの両方でサイバーセキュリティワークショップを開催しました。 マカフィーは、50州すべての選挙事務所に1年間無料でMcAfee Cloud for Secured Electionsを提供しています。

シマンテック、Cloudflare、Centrify、Akamaiを含む他のクラウドテクノロジーおよびセキュリティ企業は、同様の無料または割引ツールを提供しています。 これはすべて、ハイテク業界のあらゆる種類の集団PRキャンペーンの一部であり、シリコンバレーが過去に持っていたよりも選挙のセキュリティを改善するために、より協調した取り組みを行っています。

暗号化されたアプリでキャンペーンを取得する

たとえば、Wickrは（ほぼ）キャンペーンに無料でサービスを提供し、キャンペーンとDNCと直接連携して、キャンペーンワーカーを訓練し、安全な通信ネットワークを構築しています。

同社によれば、Wickrを使用したキャンペーンの数は4月以降3倍になり、上院キャンペーンの半数以上と70を超える政治コンサルティングチームがこの夏の時点でこのプラットフォームを使用していました。 Wickrの政治および政府のリーダーであるAudra Grassiaは、過去1年間、ワシントンDCの政治委員会およびキャンペーンでその努力を率いてきました。

「政治以外の人々は、あらゆるレベルで複数のキャンペーンにソリューションを展開することがいかに難しいかを理解するのに苦労していると思います」とグラシアは言いました。 「キャンペーンはすべて、2年ごとにスタッフが転職する独自の小規模ビジネスです。」

多くの場合、個々のキャンペーンにはサイバーセキュリティのための資金がありませんが、大きな政治委員会にはあります。 2016年をきっかけに、特にDNCはサイバーセキュリティとシリコンバレーとのこの種の関係構築に多額の投資をしました。 現在、委員会には、以前はTwitterとUberであった新しいCTOのRaffi Krikorianが率いる35人の技術チームがいます。 DNCの新しい最高セキュリティ責任者であるBob Lordは、以前はYahooのセキュリティ担当役員であり、壊滅的なハッキングへの対処に精通しています。

GrassiaのチームはDNCと直接連携しており、Wickrのテクノロジーの展開を支援し、さまざまなレベルのトレーニングをキャンペーンに提供しています。 Wickrは、DNCの候補者向け技術市場で紹介されている技術プロバイダーの1つです。 「キャンペーン内の感動的な作品は本当に驚異的です」とWickrのCEOであるJoel Wallenstromは述べています。

彼は、キャンペーンには、エンタープライズグレードの情報セキュリティに投資したり、才能にシリコンバレーの価格を支払ったりするための技術知識やリソースがないと説明しました。 暗号化されたアプリは基本的に、すべてを構成する高価なコンサルティングチームを雇うことなく、キャンペーンのすべてのデータと内部通信を安全な環境に移動する組み込みインフラストラクチャを提供します。 すべてを網羅したソリューションではありませんが、少なくとも暗号化されたアプリは、キャンペーンの重要な要素を比較的迅速にロックできます。

中期および将来の選挙で、ロビー・ムックは、彼が最も懸念しているいくつかのキャンペーン攻撃ベクトルがあると言いました。 1つは、大会のスピーチや候補者がオンライン寄付で銀行取引をしているプラ​​イマリーコンテストなどの重要な瞬間に、キャンペーンWebサイトを攻撃するDDoS攻撃です。 彼はまた、お金を盗むためのワンツーパンチとして偽のサイトを心配しています。

「私たちはこれを少し見たことがありますが、注目すべきことの1つは、寄付プロセスに混乱と疑念を生じさせる可能性のある偽の募金サイトです」とMook氏は語ります。 「ソーシャルエンジニアリングがキャンペーンスタッフをだましてお金を送ったり、寄付金を泥棒に振り向けようとすると、さらに悪化する可能性があります。これは、敵にとって有利であるだけでなく、実際のキャンペーンから注意をそらすため、特に危険です。問題に取り組み、陰謀に焦点を当て続けます。」



有権者の心の情報戦争

現代の選挙の安全保障で理解するのが最も難しいのは、それを防ぐことは言うまでもなく、誤報と社会的影響キャンペーンです。 それは、議会で、そして民主主義を脅かす難問の中心にある社会的プラットフォームで、最も一般的にオンラインで行われた問題です。

偽のニュースや有権者に影響を与えるために広められた誤報は、さまざまな形でもたらされます。 2016年には、ソーシャルメディアのマイクロターゲット政治広告、候補者に関する誤った情報を流しているグループや偽のアカウント、情報戦のために戦略的に広められた漏洩したキャンペーンデータから来ました。

マーク・ザッカーバーグは、選挙後、Facebookの選挙に影響を与える偽のニュースは「かなりおかしいアイデアだ」と有名に言っていました。 Facebookの現在の状況を把握するには、悲惨な1年間のデータスキャンダルと収益のヒットが必要でした。政治スパムアカウントの大量パージ、政治広告の検証、選挙と戦う包括的な戦略の一環としての中間選挙「戦争部屋」の設定干渉。

Twitterも同様の措置を講じ、政治候補者を確認し、ボットとトロールを厳しく取り締まりましたが、誤った情報が残っています。 企業は、偽のアカウントを見つけて削除し、偽のニュースを阻止するためにサイバー敵との軍拡競争にいるという事実に正直でした。 Facebookは先週、82ページ、グループ、およびアカウントで構成されるイラン関連の宣伝キャンペーンを停止しました。

しかし、機械学習アルゴリズムと人間のモデレーターは、これまでのところしかできません。 ブラジルの大統領選挙におけるWhatsAppを介した誤報の広がりは、ソーシャルメディア企業がさらに多くの仕事をする必要があることの1つの例にすぎません。

Facebook、Twitter、およびAppleなどのテクノロジーの巨人は、選挙でプラットフォームが果たす役割を暗黙のうちに認めることから、責任を受け入れ、作成に役立った非常に複雑な問題を解決しようとしています。 しかし、それで十分ですか？

「選挙への影響は常に存在しますが、私たちが見ているのは新しいレベルの高度化です」とカーネギーメロンのコンピューターサイエンス准教授でプライバシーとセキュリティに関する研究を行っているトラビスブロー氏は述べています。

Breaux氏は、ロシア、イラン、その他の国家主体から見ている誤報キャンペーンのタイプは、何十年もの間使用されてきたプレイブックのスパイ活動エージェントとそれほど違わないという。 彼は、外国の意見を誤解させたり、混乱させたり、inしたりするように設計された、州が後援する冷戦情報キャンペーンについて語った元 telli 報官によって書かれた1983年の The KGB and Soviet Disinformation という本を指した。 ロシアのハッカーとトロールファームは今日同じことを行っていますが、デジタルツールの力とそれらが提供する範囲によって、彼らの努力だけが指数関数的に拡大されています。 Twitterは、一瞬で世界中にメッセージを送ることができます。

「偽アカウントのような既存の技術が組み合わされており、現在では運用が可能になっています」とBreauxは述べています。 「私たちは、本物で信頼できる情報がどのようなものであるかを把握し、理解する必要があります。」

McAfee CTOのSteve Grobmanは、政府が公共サービスキャンペーンを実施して、虚偽または操作された情報に関する認識を高めるべきだと考えています。 彼は、2016年の最大の問題の1つは、侵害されたデータに整合性があるという重大な仮定であったと述べました。

選挙サイクルの後半の段階で、情報の有効性を独立して検証する時間がないとき、情報戦は特に強力になる可能性があります。

「ジョン・ポデスタのメールがウィキリークスで公開されたとき、マスコミはそれらがすべて本当にポデスタのメールであると仮定していました」とグロブマンは言いました。 PCMagは、漏洩したメールの真正性を直接調査していませんが、偽と確認されたいくつかのPodestaメールは、大学のAnnenberg Public Policy Centerから実行されたプロジェクトであるFactCheck.orgによると、ペンシルバニア州。

「一般の人々を教育するために必要なことの1つは、違反から出てくる情報に、正当なデータと絡み合った偽造データを含めることができるということです。

これは、オンラインやソーシャルメディアで見るものだけでなく、お住まいの地域での投票に関するロジスティックの詳細にも拡張できます。 ある地方自治体から次の地方自治体へのウェブサイトドメインのような基本的なものの不一致を考えると、有権者は現実を識別する公式な手段を必要としています。

「ハッカーが特定の農村部または都市部の候補者に向かって選挙を左右しようとすることを想像してください」とグロブマンは語った。 「天候により、選挙が24時間延期されたことを告げるフィッシングメールをすべての投票者に送信するか、投票場所の場所を誤って更新したことを伝えます。」

最終的に、誤った情報を排除するのは投票者次第です。 ニューヨーク州最高情報セキュリティ責任者のデボラ・スナイダー氏は、「Facebookからニュースを受け取ったり、考え方に投票したりしないでください」と述べ、事実が検証済みの情報源からのものであることを確認します。 WickrのJoel Wallenstromは、有権者はFUDが非常に多くなるという事実（恐怖、不確実性、疑念）に投票する必要があると考えています。 彼はまた、Twitterをオフにするべきだと考えています。

Robby Mook氏によると、サイバー犯罪やデータ戦争作戦のいずれを扱う場合でも、表示される情報は、特定の方法で考えて行動できるように設計されていることを覚えておくことが重要です。 しないでください。

「投票者は一歩下がって、自分に言われていることではなく、自分にとって重要なことを自問する必要があります」とムックは言いました。 「候補者の実体、これらの公務員が下す意思決定、およびそれらの決定が彼らの生活にどのように影響するかに焦点を当てています。」



私たちが得たすべてを投げる もう一度実行する

Defending Digital Democracyプロジェクトの選挙セキュリティシミュレーションドリルは、マサチューセッツ州ケンブリッジで午前8時に始まりました。選挙が始まると、選挙日の6〜8か月前に架空の州で働いていた参加者が、20日間の運動の10分間を占めました。 全員がポーリング時間までカウントダウンするため、最後には毎分がリアルタイムで発生していました。

ローゼンバッハは、彼、ムック、およびロードスが選挙治安大惨事がどのように展開するかをスクリプト化する70ページのシナリオで入り、彼らがどのように反応するかを見るために州役人に次々と投げたと言った。

「ここに状況があります。ロシアの情報操作がTwitterボットを介して実行されたというニュースレポートが届いただけです」とRosenbach氏は言います。 「また、閉鎖されているがアフリカ系アメリカ人の有権者のみを示しているこの投票所から結果が出ています。その後、彼らはそれに反応する必要があります。 、投票インフラストラクチャが危険にさらされ、何かが漏えいし続けています。」

Defending Digital Democracy Projectは28の州で人口統計学とさまざまな種類のポーリング機器に関する研究を行い、シミュレーションのスクリプトを作成し、全員に役割を割り当てました。 低レベルの選挙管理者は、架空の国家の高官を演じるようになり、逆もまた同様です。 ローゼンバッハは、ウェストバージニア州務長官マック・ワーナーが世論調査員になりたいと言った。

目標は、38州すべての当局者が、シミュレーションに心の中で応答計画を残し、本当に重要なときに適切な質問をすることでした。 このリンクを暗号化しましたか？ 有権者データベースは安全ですか？ 投票日前に投票機に物理的にアクセスできる人をロックしましたか？

卓上演習の間違いなくより重要な副産物は、情報を共有し、ベストプラクティスを交換するために全国の選挙管理者のネットワークを作成したことでした。 ローゼンバッハは、これを一種の「非公式のISAC」と呼び、州の中間期に至るまで非常に活発であり、現在見ている攻撃や脆弱性のタイプを共有しています。

国家もこの種の訓練を自力で行っています。 ニューヨークは、5月に国土安全保障省と協力して、サイバーセキュリティの準備と脅威への対応に焦点を当てた一連の地域卓上演習を開始しました。

NYS CISO Snyderは、州選挙管理委員会が郡選挙管理委員会に選挙固有のトレーニングを提供したと述べました。 さらに、140, 000人の州労働者全員に提供される無料のサイバー意識トレーニングも地方自治体で利用できるようになり、選挙特有のトレーニングと一般的なサイバーセキュリティ意識トレーニングの両方が提供されました。 スナイダーはまた、何が起こったのか、なぜ起こったのかを知るために、有権者のデータ侵害に苦しんでいる他の州に手を差し伸べたと語った。

「パートナーシップはサイバーセキュリティを機能させるものです。インテリジェンス共有の欠如が失敗の理由です」とSnyder氏は言います。 「国家は、サイロではサイロを実行できないことを認識しており、その共有された状況認識の利点は、ハッキングされた方法の物語を語る恥ずかしさをはるかに上回っています。」

D3Pは中期中に全国にチームを送り、数十の州での選挙を観察し、2020年までにプロジェクトのプレイブックとトレーニングを改善するために報告します。多くの情報源が共有する感情の1つは、サイバー攻撃者が米国を激しく攻撃する可能性がないことです中期的に。 アメリカは2016年の選挙で完全に不意を突かれ、2018年には国民国家のハッカーに私たちが持っていることと学んでいないことを示します。

サイバー戦争は、全面的な攻撃だけではありません。 ハッキングや誤報のキャンペーンはより秘密であり、あなたが期待していないことを正確に当てることに依存しています。 ロシア、イラン、中国、北朝鮮などについては、多くの安全保障および外交政策の専門家が、2020年の大統領選挙サイクルで米国の選挙に対するより破壊的な攻撃が来ることを恐れています。

「ロシア人はまだ活動的ですが、北朝鮮、中国人、イラン人が、中期で何をしているのかを注意深く見ていなかったり、他のインテルのサイバー作戦のように秘密の土台を築いていなかったら驚いたでしょう」ローゼンバッハ。

中期および2020年に見られるサイバー攻撃は、どのシミュレーションにもなかったまったく新しいベクトルによるものです。 誰も予期していない、または直面する準備ができていない新世代のエクスプロイトとテクニック。 しかし、少なくとも彼らが来ることは知っているでしょう。