ADVISORY ON CYBERSECURITY FOR ELECTIONS IN SINGAPORE |
シンガポールにおける選挙のサイバーセキュリティに関する勧告 |
Introduction |
序文 |
Election campaigns were traditionally conducted physically. As the world rapidly digitalised, election campaign activities are increasingly being conducted online or in hybrid format. While the transition online has made it more convenient for election candidates and political parties while increasing the reach to the voters, the IT systems underpinning such activities are susceptible to cyber-attacks. |
選挙運動は従来、物理的に行われてきた。世界が急速にデジタル化するにつれ、選挙運動はオンラインまたはハイブリッド形式で行われることが多くなっている。オンライン化によって選挙候補者や政党の利便性が向上し、有権者へのリーチが広がる一方で、こうした活動を支えるITシステムはサイバー攻撃の影響を受けやすくなっている。 |
Examples of online campaign activities range from holding online rallies on social media platforms like Facebook to organising Q&A sessions on video conference platforms such as Zoom. To ensure that all online campaign activities are protected from cyber threats, election candidates and political parties should take appropriate precautionary measures to protect their digital assets. These assets include smartphones, computers, storage devices and online websites and accounts. |
オンライン・キャンペーン活動の例としては、フェイスブックなどのソーシャルメディア・プラットフォームでのオンライン集会の開催から、Zoomなどのビデオ会議プラットフォームでの質疑応答セッションの開催まで、多岐にわたる。すべてのオンライン選挙活動をサイバー脅威から確実に守るために、選挙候補者と政党は、デジタル資産を保護するための適切な予防措置を講じるべきである。これらの資産には、スマートフォン、コンピューター、ストレージデバイス、オンラインウェブサイトやアカウントが含まれる。 |
The purpose of this advisory is to provide election candidates and political parties with information on potential cyber threats to their activities and the preventive measures they can take to mitigate the risk of cyber incidents disrupting their activities. |
この勧告の目的は、選挙候補者と政党に、彼らの活動に対する潜在的なサイバー脅威と、彼らの活動を妨害するサイバーインシデントのリスクを軽減するために講じることができる予防措置に関する情報を提供することである。 |
Potential Cyber Threats |
サイバー脅威の可能性 |
There have been reports from several countries of cyber-attacks that use a variety of techniques to target political parties, elected parliamentarians and election candidates. These attacks may be part of a wider intent to influence voters, undermine public confidence in the election process or disrupt campaign efforts. Some potential cyber threats may include: |
政党、選挙で選ばれた国会議員、選挙候補者を標的に、さまざまな手法を用いてサイバー攻撃を仕掛けていることが、いくつかの国から報告されている。こうした攻撃は、有権者に影響を与えたり、選挙プロセスに対する国民の信頼を損なったり、選挙活動を妨害したりする、より広範な意図の一部である可能性がある。サイバー脅威には以下のようなものがある: |
Data Theft / Breaches |
データ盗難/漏洩 |
A data breach occurs when a threat actor successfully infiltrates a data source and extracts sensitive information. These assets can be compromised via various attack vectors, including social engineering, exploitation of software vulnerabilities or malware infection. Data that was exfiltrated could be published or sold, potentially damaging the credibility or reputation of the party or candidate. If the stolen data included account credentials, the threat actor could also leverage that information to launch further attacks on related IT systems, which may disrupt campaign efforts. |
データ侵害は、脅威行為者がデータソースへの侵入に成功し、機密情報を抜き取ることで発生する。これらの資産は、ソーシャル・エンジニアリング、ソフトウェアの脆弱性の悪用、マルウェア感染など、さまざまな攻撃ベクトルによって侵害される可能性がある。流出したデータは公表または販売される可能性があり、政党や候補者の信頼性や評判を損なう可能性がある。窃取されたデータにアカウント情報が含まれていた場合、脅威行為者はその情報を活用して関連するITシステムにさらなる攻撃を仕掛け、選挙活動を妨害する可能性もある。 |
Website Defacement |
ウェブサイトの改ざん |
Website defacement takes place when a threat actor gains unauthorised access to a website and changes its visual appearance. The defacement may be performed on the homepage or the sub-pages. Disturbing or graphic images or messages expressing a certain point of view may be left on the website, potentially damaging the credibility or reputation of the party or candidate. The threat actor could also delete website content to disrupt access or publish misleading information that could affect the party or candidate’s reputation. |
ウェブサイトの改ざんは、脅威行為者がウェブサイトに不正アクセスし、その外観を変更することで行われる。改ざんはホームページやサブページで行われることがある。不穏当な、あるいはグラフィックな画像や、特定の視点を表現するメッセージがウェブサイトに残され、政党や候補者の信頼性や評判が損なわれる可能性がある。脅威行為者はまた、アクセスを妨害するためにウェブサイトのコンテンツを削除したり、政党や候補者の評判に影響を与えるような誤解を招く情報を公開したりする可能性もある。 |
Distributed Denial of Service (DDoS) |
分散型サービス拒否(DDoS) |
A DDoS attack is a malicious attempt to make an online service unavailable to legitimate users by flooding the victim’s network with traffic from various sources. Such attacks use multiple compromised internet-connected devices to exhaust the capacity of the victim’s network to handle multiple requests or connections. This could result in potential voters being unable to access online services and information, and potentially undermining the effectiveness of campaigning by the party or candidate. |
DDoS攻撃は、様々なソースからのトラフィックで被害者のネットワークをフラッディングすることで、正規のユーザーがオンラインサービスを利用できないようにする悪意のある試みである。このような攻撃は、複数の侵害されたインターネット接続デバイスを使用して、被害者のネットワークが複数の要求や接続を処理する能力を使い果たす。その結果、潜在的な有権者がオンラインサービスや情報にアクセスできなくなり、政党や候補者によるキャンペーンの効果が損なわれる可能性がある。 |
Ransomware |
ランサムウェア |
Ransomware is a type of malware designed to encrypt files stored in a compromised system until a ransom is paid. All affected (encrypted) files are not recoverable unless a decryption key is available. Some ransomware variants may also perform lateral movement to encrypt files stored in shared or network drives, including backups connected to the compromised network. There is no guarantee that victims will get the decryption key or recover their data after paying the ransom. |
ランサムウェアは、身代金が支払われるまで、侵害されたシステムに保存されているファイルを暗号化するように設計されたマルウェアの一種である。影響を受けた(暗号化された)ファイルはすべて、復号化キーが入手できない限り復元できない。ランサムウェアの亜種の中には、侵害されたネットワークに接続されたバックアップを含む共有ドライブやネットワークドライブに保存されたファイルを暗号化するために、横方向の移動を行うものもある。身代金を支払っても、被害者が復号鍵を入手したり、データを回復したりできるという保証はない。 |
A ransomware attack is typically carried out via phishing emails that contain malicious attachments or links. Users’ devices could get infected when they click on these attachments or links. It could also occur when unsuspecting victims unknowingly visit an infected website that downloads and installs the malware onto their device. The inability to access encrypted files may disrupt campaigning by the party or candidates. |
ランサムウェア攻撃は通常、悪意のある添付ファイルやリンクを含むフィッシングメールを介して行われる。ユーザーがこれらの添付ファイルやリンクをクリックすると、デバイスが感染する可能性がある。また、疑うことを知らない被害者が感染したウェブサイトを訪問し、マルウェアをダウンロードしてデバイスにインストールした場合にも発生する可能性がある。暗号化されたファイルにアクセスできなくなることで、政党や候補者による選挙活動が妨害される可能性がある。 |
Exploitation of Vulnerabilities |
脆弱性の悪用 |
Vulnerabilities in IT systems refer to flaws in the code or design that creates a potential point of compromise for a computer or network. When successfully exploited, it can lead to unauthorised access to the IT system, allowing the threat actor to steal, modify, or delete data. This could potentially disrupt campaign activities. |
ITシステムにおける脆弱性とは、コードや設計に欠陥があり、コンピュータやネットワークが危険にさらされる可能性があることを指す。悪用に成功すると、ITシステムへの不正アクセスにつながり、脅威行為者がデータを盗んだり、修正したり、削除したりできるようになる。これにより、キャンペーン活動が妨害される可能性がある。 |
Compromised/Fake Social Media Accounts |
侵害された/偽のソーシャルメディアアカウント |
Threat actors could compromise social media accounts belonging to election candidates or political parties to spread misleading information. Impersonation accounts mimicking legitimate candidates or parties may also be created on various social media platforms for the same purpose. Where possible, candidates are advised to get their social media accounts verified. |
脅威行為者は、選挙候補者や政党のソーシャルメディアアカウントを侵害し、誤解を招く情報を拡散させる可能性がある。合法的な候補者や政党を模倣したなりすましアカウントも、同じ目的でさまざまなソーシャルメディア・プラットフォーム上に作成される可能性がある。可能であれば、候補者はソーシャルメディアのアカウントを確認することをお勧めする。 |
Insider Threats |
内部者の脅威 |
Insider threats refer to threats that come from someone inside the organisation who has authorised access to a network. He may wittingly or unwittingly use such access to harm the network. A malicious insider within an election campaign may intentionally steal sensitive information or degrade the network’s security to allow unauthorised access from external sources. Data that may be exfiltrated as a result could potentially damage the reputation or credibility of the party or candidate. |
内部者の脅威とは、ネットワークへのアクセスを許可された組織内部の人物からもたらされる脅威を指す。故意に、あるいは無意識のうちに、そのようなアクセスを利用してネットワークに危害を加える可能性がある。選挙運動中の悪意ある内部関係者は、意図的に機密情報を盗んだり、ネットワークのセキュリティを低下させて外部からの不正アクセスを許すかもしれない。その結果流出したデータは、政党や候補者の評判や信用を損なう可能性がある。 |
Social Engineering |
ソーシャル・エンジニアリング |
Social engineering is a manipulation technique that exploits human error to gain confidential information, access, or valuables. There are several types of social engineering attacks, including phishing, vishing, or baiting. All these types of attacks rely on human errors to successfully attain information, gain access, or reap monetary gains. Successful exfiltration of data could potentially damage the credibility or reputation of the party or candidate. |
ソーシャル・エンジニアリングは、機密情報、アクセス、または貴重品を得るために人為的ミスを悪用する操作技術である。ソーシャル・エンジニアリング攻撃には、フィッシング、ビッシン グ、おとりなどいくつかの種類がある。これらのタイプの攻撃はすべて、情報の取得、アクセス権の獲得、金銭的利益の獲得に成功するためのヒューマンエラーに依存している。データの流出が成功すれば、政党や候補者の信用や評判を損なう可能性がある。 |
Precautionary Measures for Election Candidates and Political Parties |
選挙候補者と政党のための予防策 |
Various IT equipment and systems may be used to support election candidates or political parties’ campaigns. The use of such technologies may introduce potential cyber threats highlighted in the previous section. Election candidates and political parties need to be responsible for their own cybersecurity and are advised to take precautionary measures to safeguard their digital assets. |
選挙候補者や政党のキャンペーンを支援するために、さまざまなIT機器やシステムが使用される可能性がある。そのような技術の使用は、前節で強調した潜在的なサイバー脅威をもたらす可能性がある。選挙候補者や政党は、自らのサイバーセキュリティに責任を持つ必要があり、デジタル資産を保護するための予防措置を講じることが推奨される。 |
Election candidates and political parties should appoint a responsible person to take charge of their campaign’s cybersecurity matters. Due consideration should also be placed on engaging a cybersecurity vendor to review and manage the cybersecurity posture of the election campaign systems as well as to respond to any cybersecurity incident. |
選挙候補者や政党は、選挙運動のサイバーセキュリティに関する事項を担当する責任者を任命すべきである。また、選挙運動システムのサイバーセキュリティ態勢を検討・管理し、サイバーセキュリティインシデントに対応するために、サイバーセキュリティベンダーを雇うことも十分に考慮すべきである。 |
Some precautionary measures that can be implemented by election candidates and political parties to safeguard their cybersecurity are provided below. Please note that the measures provided are not exhaustive. |
選挙候補者や政党がサイバーセキュリティを守るために実施できる予防策を以下に示す。なお、プロバイダが提供する対策はすべてを網羅しているわけではない。 |
Establish Strict Access Control |
厳格なアクセス・コントロールを確立する |
- Perform a stock take of all digital assets owned and used by the election campaign. For example, there should be clear awareness of what, where and how data is stored in each device. |
・選挙キャンペーンが所有・使用するすべてのデジタル資産の棚卸しを行う。例えば,各デバイスに何が,どこに,どのようにデータが保存されているかを明確に認識する。 |
- Institute strict control over administrator and remote access privileges to digital assets. The principle of least privileges should be followed as much as possible. |
・デジタル資産への管理者権限やリモートアクセス権限を厳格に管理する。最小権限の原則にできるだけ従うべきである。 |
- Establish a whitelist of applications that are allowed to run on device(s) used for campaign purposes especially those containing or processing sensitive data. All other applications should be disallowed. |
・キャンペーン目的で使用されるデバイス,特に機密データを含む,または処理するデバイスで実行が許可されるアプリケーションのホワイトリストを確立する。その他のアプリケーションはすべて許可しない。 |
Enforce Strong Password Management |
強固なパスワード管理を実施する |
- Institute minimum password lengths and complexities for campaign and campaignrelated accounts. A strong password would generally comprise at least 12 characters with a mix of upper- and lower-case letters, numbers, and special characters. |
・キャンペーンおよびキャンペーン関連のアカウントについて,最小限のパスワードの長さと複雑さを設定する。強力なパスワードは一般的に,大文字と小文字,数字,特殊文字を組み合わせた少なくとも12文字で構成される。 |
- Implement multi-factor authentication (MFA) to further secure online accounts. |
・多要素認証(MFA)を導入し、オンラインアカウントの安全性を高める。 |
- Raise awareness amongst account holders on safeguarding account credentials (e.g. do not share the credentials with anyone and do not write the password down on paper). |
・アカウント保有者の間で、アカウント認証情報の保護に関する意識 を高める(認証情報を誰とも共有しない、パスワードを紙に書 き出さないなど)。 |
Perform Regular Software Updates |
ソフトウェアのアップデートを定期的に行う |
- Firmware and software should always be updated promptly to protect campaign devices from known vulnerabilities. |
・キャンペーン・デバイスを既知の脆弱性から守るため,ファームウェアとソフトウエアは常に迅速に更新する。 |
- Set automatic updates where feasible. |
・可能であれば自動アップデートを設定する。 |
Regularly Backup Important Data |
重要なデータを定期的にバックアップする |
- Regularly backup important data on devices to ensure data integrity and availability in the event of a cybersecurity incident such as ransomware. Backups should be stored disconnected from the organisation’s network and kept offline, so as to prevent threat actors from being able to compromise both the primary system as well as the backup system in the same attack. |
・ランサムウェアのようなサイバーセキュリティインシデントが発生した場合にデータの完全性と可用性を確保するために,デバイス上の重要なデータを定期的にバックアップする。脅威行為者が同じ攻撃でプライマリ・システムとバックアップ・システムの両方を侵害できないように,バックアップは組織のネットワークから切り離してオフラインの状態で保存する。 |
Raise Cybersecurity Awareness Amongst Campaign Staff |
選挙スタッフのサイバーセキュリティ意識を高める |
- Educate campaign staff on common cybersecurity threats such as phishing. |
・フィッシングなどの一般的なサイバーセキュリティの脅威についてキャンペーンスタッフを教育する。 |
- Remind them that they should practice good cyber hygiene and implement preventive measures. |
・適切なサイバー衛生を実践し,予防策を実施すべきであることを再認識させる。 |
- Establish clear lines of communication for incident reporting. Campaign staff should also be encouraged to report near-miss incidents. |
・インシデント報告のための明確なコミュニケーションラインを確立する。選挙スタッフにもインシデントのニアミスを報告するよう促す。 |
- Train campaign staff to spot signs of compromise (e.g. not able to login using original password, receiving a ransom message, sudden presence of unknown applications installed in device, or inexplicable activities detected on their device(s)). |
・選挙スタッフが侵害の兆候(元のパスワードでログインできない、身代金要求メッセージを受信した、デバイスに未知のアプリケーションが突然インストールされた、デバイスで不可解なアクティビティが検出されたなど)を発見できるよう検知訓練を行う。 |
Develop Cybersecurity Monitoring and Incident Response Capabilities |
サイバーセキュリティのモニタリングとインシデント対応能力を開発する。 |
- Establish cybersecurity monitoring capabilities to detect breaches or breach attempts. Such capabilities can take the form of installed technologies such as Endpoint Detection and Response (EDR). |
・侵害または侵害の試みを検知するためのサイバーセキュリティ監視能力を確立する。このような能力は、EDR(Endpoint Detection and Response:エンドポイント検知・応答)のような導入済みテクノロジーの形をとることができる。 |
- Perform regular security assessments on election campaign related websites using reputable tools such as SSL Labs, MxToolbox, or the Cyber Security Agency of Singapore’s Internet Hygiene Portal to identify possible flaws for remediation. |
・SSL Labs、MxToolbox、Cyber Security Agency of Singapore's Internet Hygiene Portal などの評判の良いツールを使用して、選挙キャンペーン関連のウェブサイトのセキュリティ評価を定期的に実施し、改善の可能性がある欠陥を特定する。 |
- Enable loggings of network traffic and security events. Logs should be retained for a suitable period (e.g. 6 months) to facilitate any investigations in the event of a cybersecurity incident. |
・ネットワーク・トラフィックとセキュリティ・イベントのロギングを有効にする。サイバーセキュリティインシデントが発生した場合の調査を容易にするため、ログを適切な期間(6 カ月など)保持する。 |
- Develop an incident response and management plan to ensure that all stakeholders know their role. The following checklist developed by SingCERT may be useful when developing an incident response plan for your campaign: https://www.csa.gov.sg/TipsResources/Resources/singcert/Incident-Response-Checklist. |
・インシデント対応・管理計画を策定し、すべての関係者が自分の役割を把握できるようにする。キャンペーンのインシデント対応計画を策定する際には、SingCERT が作成した以下のチェックリストが有用である。https://www.csa.gov.sg/TipsResources/Resources/singcert/Incident-Response-Checklist. |
Steps to Take in the Event of a (Suspected) Cybersecurity Incident |
サイバーセキュリティインシデント(の疑い)が発生した場合の手順 |
If election candidates, political parties or campaign staff suspect that a cybersecurity incident may have occurred, they should: |
選挙候補者、政党、選挙運動スタッフが、サイバーセキュリティ・インシデントが発生した可能性があると疑われる場合、次のことを行うべきである: |
- Lodge a police report immediately, and keep the Elections Department (ELD) informed. |
・直ちに警察に被害届を提出し、選挙管理局(ELD)に報告する。 |
To respond to the incident: |
インシデントに対応する: |
- Contact the relevant email and social media platform providers for issues related to your email or social media accounts. For immediate self-help, please refer to the section Useful Links for Email Providers and Social Media Platforms. |
・電子メールやソーシャルメディアのアカウントに関する問題については,関連する電子メールやソーシャルメディアのプロバイダに連絡する。早急な自助努力については,「電子メールプロバイダーおよびソーシャル・メディア・プラットフォームのための有用なリンク」のセクションを参照すること。 |
Contact your appointed cybersecurity vendor if there is a compromise in your IT system. A non-exhaustive list of cybersecurity vendors is provided under the section Cybersecurity Service Providers. For immediate self-help, you may also wish to visit [web]. |
ITシステムに侵害があった場合は、指定されたサイバーセキュリティ・ベンダーに連絡する。サイバーセキュリティ・ベンダーの非網羅的リストは、「サイバーセキュリティ・サービス・プロバイダー」のセクションに記載されている。早急なセルフヘルプについては、[web]。 |
Additional Resources |
その他のリソース |
For additional information on the potential cyber threats mentioned in this advisory and other references on cybersecurity tips and good practices, please refer to section Useful References. |
この勧告で言及されている潜在的なサイバー脅威に関する追加情報、およびサイバーセキュリティに関するヒントやグッドプラクティスに関するその他の参考情報については、「有用な参考情報」のセクションを参照されたい。 |
For clarifications on the advisory, please send an email to SingCERT at singcert@csa.gov.sg |
この勧告に関する明確な情報については、SingCERT(singcert@csa.gov.sg)まで電子メールで問い合わせること。 |
Useful Links for Email Providers and Social Media Platforms |
電子メールプロバイダーおよびソーシャルメディアプラットフォームのための有用なリンク |
The following table provides account retrieval details for popular email providers: |
以下の表は、一般的な電子メール・プロバイダのアカウント検索の詳細を示している: |
Recent Comments