マサチューセッツ州を拠点とする企業、Voatzは、ブロックチェーンを使った米国選挙アプリのセキュリティリスクを最近明らかにし、各方面から非難を浴びている。.
Voatzは、多くのセキュリティ上の抜け穴があると調査されたブロックチェーンモバイル投票アプリを推進しており、多くの世論の批判を集めています。特に、データセキュリティに関するセキュリティ上の抜け穴は深刻です。.
米国では選挙週が近づいており、こうしたセキュリティ問題への対応はますます重要になっています。米国選挙アプリのセキュリティに関する監査には、122ページにわたるセキュリティレビューに加え、脅威モデリングに関する考慮事項を強調した78ページが含まれています。
米国の選挙アプリのセキュリティリスク:Voatz にはブロックチェーンは必要ない?
Voatz が使用するブロックチェーンはモバイル クライアントには拡張されないため、米国の選挙アプリにセキュリティ上のリスクが生じます。.
魅力trac、分散型システムであるため、投票者が誰かを信頼する必要がないことです。しかし、Voatzはこれを一般公開していません。Voatzは監査ログとしてHyperledgerブロックチェーンを使用しています。これは最先端のブロックチェーン技術ではなく、監査ログを備えたデータベースで簡単に実現できます。
監査報告書によると、Voatzシステムには、アプリ内で投票した期間に基づいて投票者の匿名性を解除する緩和策が存在しないことが判明しました。Voatzは、匿名化された情報をブロックチェーン上にアップロードする「ミックスネット」が存在すると主張しています
米選挙アプリのセキュリティリスク:MITの調査結果が裏付け
マサチューセッツ工科大学(MIT)の研究者らは2月13日に、Voatzのブロックチェーンには重大なセキュリティ上の問題があると主張する報告書を発表したが、Voatzは同日中に返答し、MITの主張を否定した。
結局のところ、Voatz からの返答は、米国国土安全保障省から問題の概要を受け取った後、Bits の痕跡が MIT に対して普遍的なセキュリティの脆弱性を検証してから 3 日後に書かれたものでした。.
以前の米国選挙アプリのセキュリティリスクプロジェクトは完了していませんでしたか?
これは、ホワイトボックス調査を実施し、これらの知見に至った最初の報告書です。これ以前にも多くの報告書が実施されましたが、いずれも十分に網羅的ではありませんでした。Trail of Bitsは、過去の報告書を以下のように要約しています。
2019年にNCCによってセキュリティレビューが実施されましたが、非公開であったため、技術的なセキュリティ専門家は雇用されていませんでした。
2018 年 10 月、ShiftState はブロックチェーン アーキテクチャ、データ フロー、脅威軽減の決定について広範囲にわたる衛生レビューを実施しましたが、このレビューではアプリケーション自体のバグの検索は考慮されませんでした。
前回のセキュリティレビューは2019年10月に実施されましたが、クラウドリソースとアプリのハッキング可能性のみを評価していました。以前のレポートにはサーバーおよびバックエンドのセキュリティ問題の評価が含まれていなかったため、以前のレポートは包括的なものではありませんでした。
一方で、米国の複数の州はブロックチェーンに基づく投票を検討している。一方で、Trail of Bitsの報告書は、これらの報告書は単なる技術文書に過ぎず、評価の抜け穴が見落とされていることから、選出された公職者がこれらの文書を読むのに十分な資格を有しているのかという疑問が生じていると指摘している。
