世界を動かす技術を、日本語で。

インターネット投票は安全ではなく、公的選挙での使用は避けるべきである

概要

  • インターネット投票は 本質的に安全ではない という科学的合意
  • 現存および将来的な技術でも 安全性の担保は不可能
  • E2E-VIV(End-to-End Verifiable Internet Voting)も 固有の脆弱性 を持つ
  • VoteSecureなど新システムも 根本的な問題を解決できていない
  • プレスリリースによる安全性主張は 誤解を招く危険性

インターネット投票の安全性に関する科学者声明

  • 21名の 選挙セキュリティ専門家 による共同声明
  • インターネット投票は 長年にわたり安全でないことが証明済み
  • 技術的進歩によっても 安全性確保は見込めない
  • ベンダーや一部団体(例:Mobile Voting Foundation)は 安全性を過大主張
  • これらの主張は 誤解を招き、危険

Part I. インターネット投票の基本的な脆弱性

  • すべてのインターネット投票システムは 深刻な3つの弱点 を持つ
    • 有権者端末(スマホ・PC)の マルウェア感染リスク
    • サーバ側の 不正アクセス・内部不正
    • 選挙管理事務所の システム侵害
  • 紙の投票にもリスクはあるが、 大規模な不正の難易度が桁違い
  • インターネット投票では 単一攻撃者が大量票を改ざん可能
  • 紙投票では大規模不正は 発覚・摘発しやすい

Part II. E2E-VIV(End-to-End Verifiable Internet Voting)の問題点

  • E2E-VIVは 投票が正しく記録・集計されたか検証可能 とされる
  • しかし、すべてのE2E-VIVシステムは 以下の脆弱性 を抱える
    • 検証アプリ自体が マルウェア感染の恐れ
    • レシートフリー(証明不可性)」が難しく、投票売買の温床
    • 検証アプリの 使い勝手が悪く、利用率が低い
    • 検証しても 不正の証明・異議申し立てが困難
  • 結果として、 検証機能が実質的な安全性向上に寄与しない
  • 科学的には E2E-VIVも非E2E-VIV同様に安全性が不十分

Part III. VoteSecureの問題点

  • Mobile Voting FoundationがFree and Fair社に VoteSecure開発を依頼
  • VoteSecureは オープンソースの暗号コア として公開
  • 開発者自身が 安全性の限界を認めている
    • レシートフリーを実現できていない ことを明言
    • 異議申し立て(dispute resolution)手順が未定義
    • 端末マルウェアへの対策なし と明記
  • VoteSecureは 新たな安全性をもたらすものではなく、既存E2E-VIVと同等の問題
  • 技術的分析で 大規模な票買収・票の盗難の脆弱性 が判明

結論と提言

  • インターネット投票は 既知の技術では安全にできない
  • 今後の研究は重要だが、 現状では根本的な解決策なし
  • プレスリリースやベンダー発表を 鵜呑みにせず、科学的検証が必須
  • 信頼できる評価は 査読付き論文・国際会議でのみ得られる
  • 選挙管理者・メディアは 「プレスリリースによる科学」に注意

署名者一覧(所属は識別用、機関の公式見解ではない)

  • Andrew W. Appel(Princeton University)
  • Steven M. Bellovin(Columbia University)
  • Duncan Buell(University of South Carolina)
  • Braden L. Crimmins(Univ. of Michigan, Stanford Law)
  • Richard DeMillo(Georgia Tech)
  • David L. Dill(Stanford University)
  • Jeremy Epstein(Georgia Institute of Technology)
  • Juan E. Gilbert(University of Florida)
  • J. Alex Halderman(University of Michigan)
  • David Jefferson(Lawrence Livermore National Laboratory)
  • Douglas W. Jones(University of Iowa)
  • Daniel Lopresti(Lehigh University)
  • Ronald L. Rivest(MIT)
  • Bruce Schneier(Harvard Kennedy School, University of Toronto)
  • Kevin Skoglund(Citizens for Better Elections)
  • Barbara Simons(IBM Research)
  • Michael A. Specter(Georgia Tech)
  • Philip B. Stark(University of California)
  • Gary Tan(The Pennsylvania State University)
  • Vanessa Teague(Australian National University)
  • Poorvi L. Vora(George Washington University)

Hackerたちの意見

僕は、段ボールのブースで紙に鉛筆で投票する経済に住んでるんだけど、これがうまく機能してるんだよね。もちろん、200万人以上の有権者がいる経済ではコストも線形にスケールしなきゃいけないし、時間も重要な要素になるけど、コミュニティの受け入れという点では、やっぱり紙とペン/鉛筆が機械よりも優れてると思う。オーストラリアでは、適格な市民は投票所に必ず行かなきゃいけなくて、紙を無効にしたり、立ち去ったりすることもできるけど、罰金があるからね。市民の義務として参加することが求められてるんだ。イギリスの自分の経済でも遠隔投票を提案されたことがあるけど、年金を受け取るためにイギリス政府とKYCを済ませてるから、オンラインで自分が誰かを知ってもらうことに問題は感じないんだ。だから、見出しには完全には同意しないけど、この記事には納得させられるかもしれない。ハンギングチャドの国と自分の国を比べると、紙と鉛筆で十分だと思うよ。ちなみに、うちではA0の紙から長いストリップに切った投票用紙が必要な上院選挙があるんだ。何百もの箱に記入しなきゃいけない。すべての裁判官や公職、提案に対する投票はないけど、代表者と上院議員を選ぶ複雑な投票方法があるんだ。それがうまく機能してる。機械読み取りもするけど、すべての紙は人間が確認して、政党には監視する権利がある、セキュリティのある場所でね。投票の信頼性に対する深刻な懸念はないし、その質問は定期的にされてるし、テストもされてるよ。(単に安全だと思ってるからチェックしないわけじゃない)署名者のリストは素晴らしいし、尊敬する人たちも含まれてる。アメリカ人にとっての最も重要な質問は、「今のアプローチよりどれだけ悪くなるか、または良くなるか?」だと思う。

オーストラリアって消せる鉛筆で投票するの?インクが必要だったらもっと安心できるのに。

インドの投票方法について、すごくいい話を聞いたことがあるよ。選挙管理委員会が仕事を真剣にやってるみたいだね。

問題は、もし自分の投票が正しくカウントされたと証明できるなら、隣にいるハンマーを持った奴にも「家族に何かあったら悲しいことになるから、どう投票したか証明して」って言われる可能性があるってことだ。

公共選挙で最も重要な要素は信頼だよ。効率性はあんまり重要じゃない。紙の投票から公的な監視のもとでの集計をやめて電子投票に移行したことで、信頼が大きく損なわれた。敵対的な政府が投票を偽造するのがずっと簡単になったし、効率性のわずかな改善のために、実際には重要じゃないことを犠牲にしたんだ。インターネット投票に移行することは、選挙プロセスをさらに悪化させて、完全に制御と信頼を失う可能性がある。紙の投票に戻るべきだと思う。

もし効率性の一部(必ずしもインターネットでなくても)が投票率や参加を改善するならどうなる?

大体同意だけど、迅速な結果のために直接デジタル集計の利点を放棄する必要はないと思う。紙の監査証跡が欲しいな。投票用紙を印刷して、窓の下を流れる紙ロールに記録する感じ。投票所を出る前に確認できるし、再集計や異議申し立てはその紙ロールをコンピュータでスキャンすればいい。これらは難しくないよ。少しコストがかかるけど、システムへの信頼を買うことになる。

ジョージアみたいに両方やればいいじゃん。コンピュータで投票して、紙に印刷される。それをスキャナーに持って行って、大きなゴミ箱に入れるんだ。(多分、紙の記録は保管してると思うけど、よくわからん)これがドミニオンシステムだよ。(懐かしい思い出)NYCに住んでたときは大きなレバーを使ったんだけど、結構楽しかった。でも、実際の紙を置くのはちょっと難しかったな。ジョージアではダイボールドの機械があって、小さなレシートがもらえたけど、かなりハッキングされやすかったと思う。まあ、半分はいつも壊れてたけどね。

アメリカでは圧倒的に紙の投票が使われてる(電子集計と組み合わせることが多い)。もう「戻る」ことはできない、今がそういう状況なんだ。紙の投票用紙なら、電子集計はリスクが少ないよ。

アメリカの投票の大半は紙で行われてるよ: https://verifiedvoting.org/verifier/。残りのほとんどは、紙の投票用紙を作成するバレットマーキングデバイスを使って投票してる。電子投票だけが選択肢の場所に住んでる人は5%未満だね。

「紙の投票に戻るべきだよ。」 その通りだけど、もうすでに紙の投票は使われてるよね。もし投票機がなかった時代に戻るって意味なら、実際には信頼が減ると思うよ。集計ミスやデータ入力のエラー、無効票が増えちゃうからね。投票機に疑念を抱いてるのは、投票者を排除しようとしてる人たちと、過去の選挙結果を受け入れられない人たちだけだよ。紙の再集計が役立った最後の大統領選挙は2000年で、信じられないかもしれないけど、今投票機の廃止を叫んでる政党が、その時に紙の再集計を避けるために訴えた政党なんだ。

「公的選挙で最も重要な特徴は信頼だ。効率は最も重要ではない特徴の一つだ。効率が低すぎて投票率に大きく影響するなら、結果を信頼できない。」 「紙の投票に戻るべきだ。私の知る限り、アメリカでは電子投票は使われていない。エストニアだけがインターネット投票を行っている国だけど、私の情報は古いかもしれない。」

Hacker Newsで議論の続きを見る