ハクソク

世界を動かす技術を、日本語で。

インターネット投票は安全ではなく、公的選挙での使用は避けるべきである

124日前原文(blog.citp.princeton.edu)

概要

  • インターネット投票は 本質的に安全ではない という科学的合意
  • 現存および将来的な技術でも 安全性の担保は不可能
  • E2E-VIV(End-to-End Verifiable Internet Voting)も 固有の脆弱性 を持つ
  • VoteSecureなど新システムも 根本的な問題を解決できていない
  • プレスリリースによる安全性主張は 誤解を招く危険性

インターネット投票の安全性に関する科学者声明

  • 21名の 選挙セキュリティ専門家 による共同声明
  • インターネット投票は 長年にわたり安全でないことが証明済み
  • 技術的進歩によっても 安全性確保は見込めない
  • ベンダーや一部団体(例:Mobile Voting Foundation)は 安全性を過大主張
  • これらの主張は 誤解を招き、危険

Part I. インターネット投票の基本的な脆弱性

  • すべてのインターネット投票システムは 深刻な3つの弱点 を持つ
    • 有権者端末(スマホ・PC)の マルウェア感染リスク
    • サーバ側の 不正アクセス・内部不正
    • 選挙管理事務所の システム侵害
  • 紙の投票にもリスクはあるが、 大規模な不正の難易度が桁違い
  • インターネット投票では 単一攻撃者が大量票を改ざん可能
  • 紙投票では大規模不正は 発覚・摘発しやすい

Part II. E2E-VIV(End-to-End Verifiable Internet Voting)の問題点

  • E2E-VIVは 投票が正しく記録・集計されたか検証可能 とされる
  • しかし、すべてのE2E-VIVシステムは 以下の脆弱性 を抱える
    • 検証アプリ自体が マルウェア感染の恐れ
    • レシートフリー(証明不可性)」が難しく、投票売買の温床
    • 検証アプリの 使い勝手が悪く、利用率が低い
    • 検証しても 不正の証明・異議申し立てが困難
  • 結果として、 検証機能が実質的な安全性向上に寄与しない
  • 科学的には E2E-VIVも非E2E-VIV同様に安全性が不十分

Part III. VoteSecureの問題点

  • Mobile Voting FoundationがFree and Fair社に VoteSecure開発を依頼
  • VoteSecureは オープンソースの暗号コア として公開
  • 開発者自身が 安全性の限界を認めている
    • レシートフリーを実現できていない ことを明言
    • 異議申し立て(dispute resolution)手順が未定義
    • 端末マルウェアへの対策なし と明記
  • VoteSecureは 新たな安全性をもたらすものではなく、既存E2E-VIVと同等の問題
  • 技術的分析で 大規模な票買収・票の盗難の脆弱性 が判明

結論と提言

  • インターネット投票は 既知の技術では安全にできない
  • 今後の研究は重要だが、 現状では根本的な解決策なし
  • プレスリリースやベンダー発表を 鵜呑みにせず、科学的検証が必須
  • 信頼できる評価は 査読付き論文・国際会議でのみ得られる
  • 選挙管理者・メディアは 「プレスリリースによる科学」に注意

署名者一覧(所属は識別用、機関の公式見解ではない)

  • Andrew W. Appel(Princeton University)
  • Steven M. Bellovin(Columbia University)
  • Duncan Buell(University of South Carolina)
  • Braden L. Crimmins(Univ. of Michigan, Stanford Law)
  • Richard DeMillo(Georgia Tech)
  • David L. Dill(Stanford University)
  • Jeremy Epstein(Georgia Institute of Technology)
  • Juan E. Gilbert(University of Florida)
  • J. Alex Halderman(University of Michigan)
  • David Jefferson(Lawrence Livermore National Laboratory)
  • Douglas W. Jones(University of Iowa)
  • Daniel Lopresti(Lehigh University)
  • Ronald L. Rivest(MIT)
  • Bruce Schneier(Harvard Kennedy School, University of Toronto)
  • Kevin Skoglund(Citizens for Better Elections)
  • Barbara Simons(IBM Research)
  • Michael A. Specter(Georgia Tech)
  • Philip B. Stark(University of California)
  • Gary Tan(The Pennsylvania State University)
  • Vanessa Teague(Australian National University)
  • Poorvi L. Vora(George Washington University)

Hackerたちの意見

僕は、段ボールのブースで紙に鉛筆で投票する経済に住んでるんだけど、これがうまく機能してるんだよね。もちろん、200万人以上の有権者がいる経済ではコストも線形にスケールしなきゃいけないし、時間も重要な要素になるけど、コミュニティの受け入れという点では、やっぱり紙とペン/鉛筆が機械よりも優れてると思う。オーストラリアでは、適格な市民は投票所に必ず行かなきゃいけなくて、紙を無効にしたり、立ち去ったりすることもできるけど、罰金があるからね。市民の義務として参加することが求められてるんだ。イギリスの自分の経済でも遠隔投票を提案されたことがあるけど、年金を受け取るためにイギリス政府とKYCを済ませてるから、オンラインで自分が誰かを知ってもらうことに問題は感じないんだ。だから、見出しには完全には同意しないけど、この記事には納得させられるかもしれない。ハンギングチャドの国と自分の国を比べると、紙と鉛筆で十分だと思うよ。ちなみに、うちではA0の紙から長いストリップに切った投票用紙が必要な上院選挙があるんだ。何百もの箱に記入しなきゃいけない。すべての裁判官や公職、提案に対する投票はないけど、代表者と上院議員を選ぶ複雑な投票方法があるんだ。それがうまく機能してる。機械読み取りもするけど、すべての紙は人間が確認して、政党には監視する権利がある、セキュリティのある場所でね。投票の信頼性に対する深刻な懸念はないし、その質問は定期的にされてるし、テストもされてるよ。(単に安全だと思ってるからチェックしないわけじゃない)署名者のリストは素晴らしいし、尊敬する人たちも含まれてる。アメリカ人にとっての最も重要な質問は、「今のアプローチよりどれだけ悪くなるか、または良くなるか?」だと思う。

オーストラリアって消せる鉛筆で投票するの?インクが必要だったらもっと安心できるのに。

インドの投票方法について、すごくいい話を聞いたことがあるよ。選挙管理委員会が仕事を真剣にやってるみたいだね。

問題は、もし自分の投票が正しくカウントされたと証明できるなら、隣にいるハンマーを持った奴にも「家族に何かあったら悲しいことになるから、どう投票したか証明して」って言われる可能性があるってことだ。

公共選挙で最も重要な要素は信頼だよ。効率性はあんまり重要じゃない。紙の投票から公的な監視のもとでの集計をやめて電子投票に移行したことで、信頼が大きく損なわれた。敵対的な政府が投票を偽造するのがずっと簡単になったし、効率性のわずかな改善のために、実際には重要じゃないことを犠牲にしたんだ。インターネット投票に移行することは、選挙プロセスをさらに悪化させて、完全に制御と信頼を失う可能性がある。紙の投票に戻るべきだと思う。

もし効率性の一部(必ずしもインターネットでなくても)が投票率や参加を改善するならどうなる?

大体同意だけど、迅速な結果のために直接デジタル集計の利点を放棄する必要はないと思う。紙の監査証跡が欲しいな。投票用紙を印刷して、窓の下を流れる紙ロールに記録する感じ。投票所を出る前に確認できるし、再集計や異議申し立てはその紙ロールをコンピュータでスキャンすればいい。これらは難しくないよ。少しコストがかかるけど、システムへの信頼を買うことになる。

ジョージアみたいに両方やればいいじゃん。コンピュータで投票して、紙に印刷される。それをスキャナーに持って行って、大きなゴミ箱に入れるんだ。(多分、紙の記録は保管してると思うけど、よくわからん)これがドミニオンシステムだよ。(懐かしい思い出)NYCに住んでたときは大きなレバーを使ったんだけど、結構楽しかった。でも、実際の紙を置くのはちょっと難しかったな。ジョージアではダイボールドの機械があって、小さなレシートがもらえたけど、かなりハッキングされやすかったと思う。まあ、半分はいつも壊れてたけどね。

アメリカでは圧倒的に紙の投票が使われてる(電子集計と組み合わせることが多い)。もう「戻る」ことはできない、今がそういう状況なんだ。紙の投票用紙なら、電子集計はリスクが少ないよ。

アメリカの投票の大半は紙で行われてるよ: https://verifiedvoting.org/verifier/。残りのほとんどは、紙の投票用紙を作成するバレットマーキングデバイスを使って投票してる。電子投票だけが選択肢の場所に住んでる人は5%未満だね。

「紙の投票に戻るべきだよ。」 その通りだけど、もうすでに紙の投票は使われてるよね。もし投票機がなかった時代に戻るって意味なら、実際には信頼が減ると思うよ。集計ミスやデータ入力のエラー、無効票が増えちゃうからね。投票機に疑念を抱いてるのは、投票者を排除しようとしてる人たちと、過去の選挙結果を受け入れられない人たちだけだよ。紙の再集計が役立った最後の大統領選挙は2000年で、信じられないかもしれないけど、今投票機の廃止を叫んでる政党が、その時に紙の再集計を避けるために訴えた政党なんだ。

「公的選挙で最も重要な特徴は信頼だ。効率は最も重要ではない特徴の一つだ。効率が低すぎて投票率に大きく影響するなら、結果を信頼できない。」 「紙の投票に戻るべきだ。私の知る限り、アメリカでは電子投票は使われていない。エストニアだけがインターネット投票を行っている国だけど、私の情報は古いかもしれない。」

自分は楽観主義者だと思う。安全なオンライン投票システムを作ることは可能だと信じてる。俺の貯金はFidelityやMerrill、他のところにあるかもしれないし、銀行もオンラインだし、買い物の90%はネットで済ませてる。それらは「十分に良い」セキュリティがあると思う。しかも、ほとんどの銀行はセキュリティの最前線からかなり遅れているみたい。今の技術を使えば、安全で不変、監査可能な投票システムを作れると思うよ。今の業者がそれを実現しているとは思わないけど、できる可能性はあると思う。

アメリカには紙の投票をしない場所があるの?俺が投票したところでは、郵送投票や印刷された電子投票、泡を塗りつぶすやつなど、どこでも紙だったよ。手で数えた紙の票でも、急にみんなが選挙を信じるわけじゃない、少なくとも俺の知ってる人たちはそうじゃない。前回の選挙で何十万人もの不法移民が投票したって言ってた人もいたけど、そんなことは明らかに起こってないし、それを防ぐための対策もあるのに、信じるのをやめないんだよね。陰謀論的な考え方の問題の一つは、圧倒的な証拠があってもそれが持続することなんだ。

投票システム(物理的なものでもオンラインでも)の主な目的の一つは、有権者の参加を増やすことなんだよね。世界の有権者の平均投票率は70%未満だから(大陸ごとにフィルターかけると平均がわかりやすいし)。例えば、オランダみたいにインターネットの接続率が99%の国でも、2024年の投票率はたった77%なんだよ。中央集権的な投票システムの信頼管理に関するセキュリティ技術は、もう解決済みでよく理解されてるし、今はマルチファクター認証を使ったゼロトラストに進んでる。何十年も前からあるケルベロスやその安全な派生技術、代替手段もたくさんあるのにね。もっと難しい完全分散型の問題は、最近ブロックチェーンや不変データで解決されたと言えるかも。この記事が言ってるのは「できない」んじゃなくて「やらない」ってことだよね。これが政治的意志の本質で、政治的な投票に関してはこういうダメな態度が出てくるのも仕方ないよ。[1] 登録有権者の投票率、2024年: https://ourworldindata.org/grapher/voter-turnout-of-register...

「君のお金はすべてインターネット上にあって安全だ」 「インターネット投票は安全じゃない」 誰が勝つ?

インターネット投票は匿名で、証明できないものであるべきだ。インターネットマネーはその逆で、裁判所を通じて取り消し可能であるべきだ。

うわ、こんなに明確に注意力の低下を示すコメントは珍しいね。今は基本的な議論の概念すら理解できてないことが多い。

第二の方法も、暗号化されたIDカードを発行して、付属アプリでアイデンティティの範囲を証明できる地域では可能だよ。自分の国についてあまり詳しくは言えないけど、実現可能だと思う。

*「インターネット投票は安全じゃない」っていうのが勝つのは、インターネットのお金が安全じゃないからだよね。ハッカーが人の銀行口座にいつも侵入してるし。ここにいる人たちが、インターネットバンキングがそんなに安全じゃないって思ってるのが本当に驚きだよ。

リスクには同意するよ。全体的なテーマは、物理的な投票よりもインターネット投票を操作する方がずっと簡単だということだね。つまり、インターネットでの投票操作は物理的なものよりもはるかにスケールする。だけど、高い信頼性のあるインターネットシステムについても同じことが言えると思う。もう一つの高信頼性の活動、銀行業務を考えてみよう。インターネットバンキングは、ハッカーに世界のどこからでも何百万も盗む能力を与える。これが著者たちが百万票を変えることについて言ってる同じ議論なんだ。だから、結局は利点と欠点の比較になる。それがもっと重要な議論だと思う。インターネット投票の利点は欠点を上回るのか?

インターネットバンキングは匿名じゃないけど、投票は匿名であるべきだよね。

「インターネットでの高信頼活動の一例として、銀行業務を考えてみよう。インターネットバンキングは、ハッカーが世界のどこからでも数百万ドルを盗む能力を与える。これは、著者たちが百万票を変えることについて主張しているのと同じ議論だ。」 銀行詐欺は常に発生していて、規模も大きい。でも、完全に保険がかけられていて、元に戻せるんだ。選挙詐欺は元に戻せない。信頼は銀行口座のように回復できないからね。

もし暗号通貨のことを言ってるわけじゃないなら、インターネットバンキングのハッカーが大きなことを成し遂げるのは無理だよ。銀行を「ハッキング」して百万ドルを持ち去るなんてできない。銀行同士はSWIFTみたいなシステムを通じて合意の上でデジタルで資金を移動させてるし、その取引は追跡可能で取り消しもできる。アカウントの数字をちょっといじって全部引き出そうとしたら、めっちゃ目立つし、実現するためには非現実的な数のシステムやプロセスを突破しなきゃいけない。せいぜい、誰かを騙してZelleで数百ドル送らせるくらいが関の山だね。詐欺センターは24時間やってるけど、そんなに簡単じゃないし、どうやら人身売買でタダ働きの人を集めてるみたい。インターネットバンキングを支えている複雑なシステム(人やプロセスを含む)は、規模がものすごい。数十年かけて進化して、実際の問題が起こるたびに改善されてきた。選挙には試行錯誤の余地なんてないからね。銀行をハッキングしても、今のところはほとんど得られない。選挙をハッキングしたら、全部手に入る。そんなのはごめんだ。電子投票には反対だね。

ある程度、紙の投票のコストはほぼ特徴の一部だと思う。選挙結果を変えるほど紙の投票システムを腐敗させるには、もっと手間と努力がかかるから、電気的なプロセスに慣れる人が増えるし、意思決定に対する重みも増すんだ。

紙の投票用紙について言えるのは、 cheatingの方法がよく知られていることだよね(車のトランクで「見つけた」投票用紙、集計センターに向かう途中で「失くした」投票箱、監視者がいないところでの投票用紙のカウントなど)。これらは何世紀も前から知られてる。だから、対策(満杯になった投票箱に公式の封印をする、封印された投票箱だけを開けてカウントする、投票箱の輸送やカウント中に常に中立の監視者がいる、など)もよく知られてる。これらの対策があれば、結果に対する信頼感はかなり高まるよね。もし監視者が追い出されて、投票のカウントが裏で続けられたら、 cheatingが行われてるんじゃないかと疑うのは合理的だし、再投票を要求することもできる。インターネット投票では、 cheatingの方法が一般の人にはあまり知られてないし、HNのような場でもすべての cheatingの方法を考え出すのは難しいと思う。(これは挑戦じゃないよ!)だから、インターネット投票システムが完全に安全だとしても、紙の投票用紙よりも選挙プロセスへの信頼感は基本的に低くなるよ。(秘密投票がプロセスの基本要件だって考えると、完全に安全にできるとは思えないしね)だから、やっぱり紙の投票用紙が一番だよ。

あと、選挙があまりにも対立を生むもので「中立」の監視者がいない場合は、中立の監視者の代わりに両方(またはすべて)の党や側の監視者がいて、カウント中にカメラを回しておくのもいいかもね。

それには強く反対だな。システムが透明で、検証や管理のメカニズムがあれば、信頼する理由はないよ。20年後でもオンラインで自分の投票がどうカウントされたか確認できるシステムがいいな。そうすれば、私の投票が盗まれることは不可能になるからね。問題はプライバシーをどう守るかだよね…。

P.S. 投票用紙を密室で数えることについて、1946年のアセンズ、テネシー州を調べてみて。面白い話だよ。 https://en.wikipedia.org/wiki/Battle_of_Athens_%281946%29 には長い説明があるけど、簡単に言うと、マクミン郡の保安官が、部下に密室で投票用紙を数えさせるなどして、不正をしていると広く信じられていたんだ。1940年、1942年、1944年には、彼とその仲間たちが「選挙に勝った」けど、1946年には、帰還したWW2の退役軍人たちが自分たちの投票ブロックを作って、保安官とその仲間に反対する候補者を立てたんだ。保安官の部下が再び投票箱を密室で数えるために郡の刑務所に持って行ったとき、WW2の退役軍人たちは地元の州兵の武器庫から武器を持ち出して(無許可で)刑務所を包囲した。最終的に保安官の部下は降伏して、投票箱を返したんだけど、無偏見の観察者の前で数えた結果、保安官の候補者が負けて、退役軍人の候補者が勝ったんだ。(驚きだね)。これが1992年の映画「アメリカン・ストーリー」にもなってるよ(いろんなことを扱ってるけど、アセンズの戦いはその一つ)。映画の正確さはわからないけど(100%正確じゃないのは知ってるけど、どれくらい変わったのかはわからない)。

不可能ってわけじゃないけど、既存のプレイヤーがすでに疑わしいからね。新しい参入者は、単純な企業が提供できる以上のものが必要になるよ。大きな投資と担保が必要だし、私たちの生活はますますデジタル化していて、悪用されるリスクが高いんだ。でも、銀行や小売業は別の世界で運営されてるから、彼らはお金を稼いでる。オンラインでビジネスを許可するためのコストは、投票のような非営利活動には合わないかもしれないね。インターネット上で侵入や歪曲が魅力的な活動の例はあるのかな?とにかく、証明可能な安全なシステムに到達する前に、もっと大きなダメージが起こりそうだよ。だから、紙や鉛筆での投票の方がいいと思う。でも、心配しないで。投票機を廃止しても、まだ穴から抜け出せるわけじゃないからね。市民連合のような概念や、投票を捨ててミリオンダラーのチャンスを狙う懸賞活動があるから、私たちは同じような状況にいるよ。違法だけど、表向きは無限に富裕な人たちが、選挙活動に関与したことに対して軽いお咎めで済むこともあるしね。もしそれがうまくいかなかったら、現実やボットが私たちの会話を毒して、世界観を形成するために攻撃してくる。もう疲れたよ。悲観的になりすぎてるかも。じゃあ、行くね。

記事では、電子投票システムの必須機能として「レシートなし」が挙げられてる。まあ、それはいいけど、誰かが投票所にスマホやAIメガネを持ち込んで投票プロセスを全部録画できる世界で、どうやってどの投票システムが安全だと見なされるの?誰でも他の人にどう投票したか見せられるじゃん。

どう投票したかを見せることじゃなくて、証明できないことが問題なんだ。投票用紙の写真を撮って、それを無効にすることだってできるからね。

投票は単一のプロセスじゃない。実際には3つの要素の組み合わせなんだ: - 投票の方法 - 投票の集計方法 - 投票の保管方法 選挙が信頼されるためには、この3つのステップが透明で監査可能でなきゃいけない。電子投票だと、この3つのステップがほぼ完全に不透明になっちゃう。メキシコの解決策はこうだ。問題はたくさんあるけど、「人々が投票のカウントを信頼している」ってのはその一つじゃない:1. 誰もが地元の投票所で紙に投票する。投票所は地域のボランティアが担当していて、すべての政党が観察者を配置してる。2. 投票所が閉まったら、票はその場で地域のボランティアによって集計され、政党の観察者がその様子を見守る。3. 集計結果は電子的に中央システムに送られる。さらに、紙にも書かれて、投票所の外に1週間掲示される。中央システムが総合的な集計を行うけど、各投票所の結果はダウンロード可能(ネットカウントが一致するか確認するため)で、どの投票所の結果も照会できる(投票者は投票所の外に掲示された紙の票数とオンラインの結果を比較できる)。集計が分散されているから、ほとんどの場合、結果は当日中に出る。こういう選挙は操作されることもあるけど、その操作は人々に自分の意に反して投票させるためのもので、「システムをハッキング」するわけじゃない。

こういう選挙は操作されることもあるけど、その操作は人々に自分の意に反して投票させるためのもので、「システムをハッキング」するわけじゃない。もしそれがシステムを操作することなら、投票の意味って何なの?

私が理解できなかったのは、なぜアメリカだけが投票手続きがこんなに物議を醸してるのかってこと。紙の投票が欲しい?それは人種差別だ。1日で集計したい?それは外国人嫌悪だ。特定の時間帯に集計を制限したい?それは絶対に人種差別だよね。アメリカがEUの国々が民主的じゃなくなってるって批判してるのが面白い。まあ、少なくともあの国々はもっとまともな投票プロセスを持ってるよ。