署名集めサイト"捨てアド"で水増し投票可

署名サイトからのメール。「減っているようでした」というが……。

■クリックを増やせば、ユーザーが減る

署名サイト「Change.org」において、通常のWebサイトで実装されているような不正対策のシステムが実装されておらず、署名数を水増しすることが容易なシステムとなっていることについて、ITジャーナリスト・三上洋氏と、ともに検証を行い、その結果をプレジデント誌2019年4月15日号の「週刊誌炎上の発火点『署名集めサイト』に重大疑惑」で報告した。

これを受けてChange.orgは19年3月24日、サイト上で声明を発表し、登録されたメールアドレスへのメールが不達となった場合、署名は自動的に削除される点と同一IPアドレスから行われる大量の複数の賛同など、不審なパターンを持った登録を排除している点を発表した。また二段階認証についてもアップデート予定だとした。

同サイトからは「システムの脆弱性を指摘するために立ち上げたキャンペーンは、賛同者数が75人まで減少していた」との報告もあった。これは不正を監視するシステムが働き、署名が減算されたとも考えられるが、サイト側がプレジデント誌報道を受け声明を発表したことや、声明発表前日まで署名に減算がなかったことを考慮すると、プレジデント誌報道を受けて手動で減算したとも考えられる。

そして19年4月5日、代表のハリス鈴木恵美氏と広報担当者がプレジデント社を訪れ、意見交換を実施した。

サイトに携わって7年目になるという代表のハリス氏。「二段階認証というインターネット黎明期からあったシステムを同社のサービス開始以来、導入してこなかったのはなぜか」という質問に対し「これまでに不正投票が問題になったことはなく、そういった使われ方がされることを想定していなかった」と発言した。

「メールアドレスを1人で複数持っていることは珍しいことではなく、多重投票が誰でもできる状況にある現状についてはどう考えているか」とも質問をしたが「もちろん（多重投票が）可能ではあるが、ほとんどのユーザーはサイトをそういった用途で使っていない」との回答だった。

署名とはあくまで「これだけの人がこう思っている」ということを表示する手段でしかない。署名を集めることはあくまで通過点にすぎず、最終的な目標は署名を対象者に見せ、自らの要求をかなえてもらうことである。だが、署名を受け取るものが「不正投票が容易な環境で集められた署名」だと判断すれば信ぴょう性は下がる。そして、記事が執筆された時点では、その不正は非常に簡単に行える環境にあった。

それは、ハリス氏が同サイトに込める「どこに声を寄せていいかわからないという人たちがキャンペーンを発信して、誰かにその思いを届けてほしい」という願いをかなえる可能性を、自ら落としていくことになりかねない。

■不正対策の詳細は公表していない

その他、IPアドレスでの不正検出や、不正対策の仕様についてもChange.orgへ尋ねたが、「エンジニアと仕様の詳しい内容を共有していないため、技術的なことについては理解しておらず、また悪意のある攻撃者からサイトを守るためにも、不正対策の詳細は公表していない」と居直りともとれる回答だった。

しかし、プレジデント誌報道後、同サイトではメールアドレスを入力し、キャンペーンへの賛同を押した場合でも、賛同後に届いたメールへのリンクへアクセスを行わないと署名およびアカウントが有効化されない仕様に変更された。

つまり、正常な二段階認証はハリス氏が携わってから7年目にしてようやく有効化されたということだ。

だが、二段階認証さえすれば多重投票は可能だ。また“捨てアド”と呼ばれる作成が容易なメールアドレスを排除する仕組みも導入されていない。

ハリス氏は「クリックを増やせば増やすほど、ユーザー数は落ちていく」とサイト運営の難しさを話していた。登録までの手続きを増やせば増やすほど、サイトの盛り上がりは弱まることを理解していた。

メールアドレスの保有数だけ投票できてしまう現状を含め、社会的影響力の大きい公的なサイトであることへの自覚を求めたい。

（行動するお金博士 山野 祐介）