ロシアの憲法改正案をめぐる国民投票で、ブロックチェーンを用いた電子投票を行った100万を超える個人データが、ハッカーによって盗まれ、売りに出されていると国内メディアが報じた。
ロシアの報道機関「Kommersant」によると、盗まれた110万を超えるデータは、オンラインフォーラム上で1つ1.5ドルで売りに出された。パスポート番号のみで構成されるこのデータは、それだけではほとんど価値がないと、匿名の販売者たちは同報道機関に認めた。
しかし、これらのデータは、データベースから流出した他の情報と組み合わせて、フィッシング攻撃に利用することが可能だという。
ロシア政府は報道を否定
今回の投票システムの設計を担当したロシア連邦デジタル発展・通信・マスコミ省は、CoinDesk宛てのEメールの中でこの報道を否定。「本省は、ダークネットを含めたインターネット上でそのようなデータの公表を定期的に監視している。報道で言及されているデータベースは、オンライン投票のために登録した有権者のリストとは関係ない」と、同省の広報担当室は述べ、モスクワ市役所のサーバーにある情報は適切に保護され、「2020年初以来情報の流出はない」と加えた。
今回のオンライン投票は、改憲案に関わる国民投票の一部。改憲案に盛り込まれた要素の1つは、大統領の任期を2期に制限する条項の廃止であり、ウラジミール・プーチン大統領は最長で2036年まで現職に留まることが可能となった。
オンライン投票システムは、ビットフューリー(Bitfury)のオープンソースブロックチェーン「Exonum」を基盤に、カスペルスキー(Kaspersky Lab)の支援を得て開発された。データ保護の点で脆弱だと以前に報じられた。また、ロシアでは、当局がオンライン上に投稿した保護の脆弱なファイルから投票内容を解読したり、パスポート番号を引き出すことが可能であったと報じられてきた。
カスペルスキー社は、同システムのセキュリティー上の問題についてコメントを控えている。
オンライン投票を拡大させるロシア
国民投票は6月の最終週から7月1日にかけて、オンラインおよび実際の投票所で行われた。地方自治体職員は電子投票を強要されたと、BBCが報じている。
デジタル発展・通信・マスコミ省の担当者アルチョーム・コスティルコ(Artyom Kostyrko)氏は8月4日、同省は販売者が提供したスクリーンショットを、有権者データベースと比較したが、情報は一致しなかったと、ブログで述べた。しかし、サイバーセキュリティー企業DeviceLockの創業者、アショート・オガネシアン(Ashot Oganesyan)氏によれば、データベースは本物で、売りに出されてからしばらく経っているという。
ロシアでは、14歳以上のすべての国民がパスポートを保有しており、政府関連の手続きをする際、パスポートが身分証の役割を果たす。それぞれのパスポートには固有の番号が付与され、その番号がオンラインの投票システムから引き出され、販売されていると報じられている。
ロシアは今後、オンライン投票を拡大する計画だ。ロシア政府によるブロックチェーンを用いた投票の実験は、2019年の秋にも行われたが、その時にはイーサリアムブロックチェーンが利用され、同様にセキュリティーの脆弱性が浮き彫りとなった。
翻訳:山口晶子
編集:佐藤茂
写真:ロシアのパスポート(Irina Tarzian/Shutterstock)
原文:Russian Voters’ Data on Sale After Blockchain Poll to Keep Putin in Power: Report