インターネット投票は安全ではなく、公的選挙に使用されるべきではない

 (blog.citp.princeton.edu)
6 ポイント 投稿者 GN⁺ 2026-01-23 | 4件のコメント | WhatsAppで共有
  • インターネット投票は技術的に安全に実装できないシステムであり、数十年にわたる研究でも解決策は見つかっていない
  • スマートフォン・コンピューターのマルウェア、サーバーハッキング、選挙管理サーバーへの侵入などにより投票の改ざんが可能で、1人の攻撃者が大規模な不正操作を行える
  • **E2E-VIV(エンドツーエンド検証型インターネット投票)**も、検証アプリの信頼性、レシート防止、紛争解決の欠如などにより根本的な脆弱性を抱える
  • Mobile Voting FoundationのVoteSecureはこうした問題をすべて抱えており、開発者たち自身も完全なセキュリティや紛争解決プロトコルがないことを認めている
  • 科学者たちは、報道や広報資料ではなく、査読付き研究によってのみインターネット投票の信頼性を検証すべきだと強調している

インターネット投票の根本的な不安定性

  • インターネット投票は既存の紙の投票よりはるかに高い改ざんリスクを持つ
    • マルウェアが有権者の端末上で選択した投票内容を変更できる
    • サーバーや選挙管理システムの内部者による改ざんも可能
    • インターネット経由の攻撃は世界中のどこからでも大規模に実行できる
  • 紙の投票は完全ではないが、大規模な不正が検知・処罰される可能性が高い
    • 一方、インターネット投票では単一の攻撃で膨大な票を変えられる

E2E-VIV(エンドツーエンド検証型インターネット投票)の限界

  • E2E-VIVは、有権者が自分の票が正しく集計されたか確認できるよう設計されているが、次のような構造的問題を抱える
    • 検証アプリがマルウェアに感染すると虚偽の情報を表示できる
    • レシート防止(receipt-free)機能がなければ大規模な票の買収行為が可能
    • 信頼性とレシート防止を同時に満たすアプリ設計は非常に難しい
    • 検証アプリを別途実行する必要があるが、実際にそうする有権者はごく少数
    • 一部の有権者が改ざんを発見しても、証明する方法がないため選挙を無効にできない
  • したがって、E2E-VIVの「検証」機能には実質的なセキュリティ強化効果がない
    • 科学界ではこうした限界がすでに数年前から共通認識として認められている

VoteSecureの事例分析

  • Bradley TuskのMobile Voting Foundationは、Free and FairとともにVoteSecureというインターネット投票SDKを開発したと発表
    • プレスリリースでは「安全で検証可能なモバイル投票が可能になった」と主張
  • しかし複数のセキュリティ専門家がVoteSecureの深刻な脆弱性を指摘
    • 開発元Free and Fairの研究者も「指摘された問題は事実であり、より良い方法が分からない」と認めた
    • VoteSecureにはレシート防止機能がなく紛争解決プロトコルが不十分であり、マルウェア感染時には検証が無意味になる
    • さらに大規模な自動化された票買収攻撃や**投票の乗っ取り(clash attack)**の可能性もある
  • Free and Fairは「VoteSecureは完全な投票システムではなく、暗号化コアのレベルにすぎない」と説明している

科学的合意と勧告

  • 数十年にわたる研究の結果、インターネット投票を安全にできる技術は存在しない
    • E2E-VIV研究も根本問題を解決できていない
  • 選挙関係者とメディアは『プレスリリースベースの科学』に注意すべき
    • 信頼性の検証は査読付き学術研究によってのみ可能
    • プレスリリースや企業広報は、選挙システムの信頼性を判断する根拠にはならない

署名した専門家グループ

  • この声明には選挙セキュリティ分野の21人のコンピューター科学者が共同署名
    • 署名者にはAndrew Appel(プリンストン大学)Ronald Rivest(MIT)、**Bruce Schneier(ハーバード大学)**などの主要研究者が含まれる
    • 署名は個人資格で行われており、所属機関の公式見解ではない

関連記事

4件のコメント

 
bbulbum 2026-01-23

ブロックチェーンが使われるなら??
 
bbulbum 2026-01-23

ああ、エンドツーエンドの信頼の問題なので、あまり関係はなさそうですね。
 
GN⁺ 2026-01-23
Hacker News の意見

  • 私はオーストラリアに住んでいる。ここでは紙と鉛筆で投票し、段ボールのブースで行う。費用は線形に増えるが、コミュニティの信頼という面では、依然として紙の投票の方が機械よりはるかに優れていると思う
    英国では遠隔投票の提案を受けたことがあるが、準同型暗号ベースの安全なオンライン投票なら歓迎していたと思う。すでに政府にKYCを提出しているので、本人確認の問題はないと考える
    オーストラリアではすべての投票用紙を人が確認し、政党には監視する権利がある。選挙の完全性に対する疑念はほとんどなく、定期的に検証も行う。米国の場合、「現在の方式よりどれほど良くできるのか?」が核心的な問いだと思う

    • 私もペンで郵便投票をしている。集計は光学スキャナーで行い、人が読める記録が残る。非常に経済的で、大規模な不正操作は難しい。インターネット投票は決して信用しない。ペンと紙で十分だ
    • 問題は、投票者が自分の票が正しく集計されたことを証明できるなら、脅迫者に対してもそれを証明できてしまう点だ。つまり、秘密投票の原則が壊れる危険がある
    • 「単にうまく機能している」最大の理由は、オーストラリア選挙管理委員会(AEC) が政府から独立していることだ。さらに義務投票優先順位投票制が加わり、民主主義が健全に保たれている
    • インド選挙管理委員会も非常に真剣に取り組んでいると聞く。インドの選挙管理体制はかなり印象的だ
    • 紙のシステムは局所的に、派手に失敗するが、インターネットのシステムは静かに、大規模に失敗する

  • 紙の投票における不正の手口は、何世紀にもわたって知られている。だからそれに対する対抗手順もよく確立されている。封印された投票箱、中立的な立会人、公開開票などで信頼を確保する
    一方でインターネット投票の不正手法は一般の人にはあまり知られていない。たとえ完全に安全でも、信頼は落ちるほかない。秘密投票が必須である以上、紙の投票が依然として最善だ

    • 参考までに、1946年の米テネシー州アセンズの戦い(Battle of Athens) 事件を見ると、閉ざされた空間での不正開票がどんな結果を生むかが分かる。Wikipedia リンク
    • 中立的な立会人を置けないほど分極化した選挙なら、各政党の立会人を置き、カメラで開票過程を記録すればよい
    • もう一つの事例としてBox 13 スキャンダルがある。Wikipedia リンク。LBJが上院議員の座を得た際、紙の投票操作があったという疑惑がある
    • 紙の投票は単純なので誰でも検証できる。電子投票は不透明で、遠隔投票では自由意思の保証が難しく、秘密投票だけが買収防止を可能にする。結局のところ信頼は「誰でも直接確認できる」ことから生まれる
    • 私は逆に考える。システムが十分に透明で検証可能なら信頼できる。ただしプライバシー保護が核心的な課題だ

  • 選挙で最も重要な要素は信頼であり、効率性は二次的だ。電子投票への移行によって信頼が損なわれ、敵対的な勢力に操作されやすくなった。インターネット投票はこれをさらに悪化させるだろう。紙の投票に戻るべきだ

    • 米国はすでに大半が紙の投票 + 電子的集計方式を使っている。戻る必要はない
    • すでに紙の投票をしている。完全手作業に戻れば、むしろ誤りや無効票が増えるだろう。投票機械への不信をあおった勢力が、皮肉にも過去には再集計を妨げていた点は皮肉だ
    • 米国有権者の95%以上が紙ベースの投票をしている。Verified Voting 統計
    • ジョージアではコンピューターで投票すると紙のレシートが印刷され、それをスキャナーに入れて集計する。以前のDiebold マシンはハッキングに脆弱だった
    • カリフォルニアの郵便投票の本人確認は署名の類似性だけで判断する。実質的には名誉システムだ。関連法条文

  • マルウェアが有権者の端末上で票を改ざんできるという指摘は妥当だ。しかしスマートフォンはすでに日常のほとんどの安全な取引に使われている。
    サーバーハッキングの危険もあるが、政府が個人情報を保管する理由も結局はリスク対報酬の分析によるものだ。
    今はオンライン投票の報酬がリスクより小さいが、リアルタイム参加型民主主義モデルを想像すれば話は変わりうる。ただ、最大の問題は無関心と低い参加率

  • インターネット投票は大規模操作が容易だ。しかしインターネットバンキングも同様に危険である。結局、長所と短所のバランスが核心だ。インターネット投票の利点は欠点を相殺できるだろうか?

    • 銀行のハッキングはほぼ不可能だ。SWIFT のようなシステムで取引は追跡でき、取り消しもできる。選挙にはそうした失敗を許容する余地がない。選挙ハッキングはそのまま民主主義の崩壊だ
    • 銀行詐欺は保険で回復できるが、選挙への信頼は回復不能
    • インターネットバンキングには匿名性がないが、投票は匿名でなければならない

  • 紙の投票のコストと非効率性はむしろ利点だ。操作が難しく、市民が選挙過程に直接参加することで決定の重みを高める

  • 投票は3段階で構成される: 投票、開票、保管。3段階すべてが透明で監査可能であってこそ信頼が生まれる。
    メキシコの事例が好例だ。

    1. すべての人が地域の投票所で紙に投票する
    2. ボランティアと政党の立会人が現場で開票する
    3. 結果を電子送信し、紙の結果を1週間掲示する
      中央システムは集計だけを行い、誰でも現場の結果とオンラインの結果を照合できる。
      このような分散構造のおかげで、結果は速く信頼性も高い。ただし**「回転ドア投票」**のような強圧的手法は依然として存在する
    • なぜ米国だけ投票手続きがこれほど論争になるのか理解できない。紙の投票を求めれば人種差別だと言われ、開票期限を制限すれば外国人嫌悪だと言われる。欧州はもっと合理的に運営している
    • アイダホでは紙で投票した後に電子集計し、必要なら手作業で再集計できる。インターネット接続なしで迅速かつ監査可能な理想的組み合わせだ
    • 秘密投票を放棄すれば、透明性の問題のかなりの部分は消える。ただしそれは民主主義の根幹を揺るがす選択だ
    • 電子投票でも複数の検証レイヤー(layer) を設ければ、同様の信頼性を確保できる
    • フランスもほぼ同じ方式で運用している

  • Tom Scott の「電子投票がなぜ悪いのか」動画は必見だ
    第1部動画 / 第2部動画

  • 問題は技術ではなく、信頼できない主体たちだ。投票は金を生まないので、銀行レベルのセキュリティ投資をしにくい。
    しかもすでに情報操作とボット活動が世論を歪めている。紙の投票の方がましだが、現実はすでにデジタルな混濁状態だ

    • 予想するに、2026年のトランプ政権は「選挙安全保障」を名目に電子投票のみを認めようとするだろう。政治的に有利な企業がシステムを提供し、訴訟が続いて混乱が長引くはずだ。最終的には両党とも結果を信用しなくなる危険が大きい

  • 私はこの記事の共同著者であり、Georgia Tech の教授だ。セキュリティ、プライバシー、公共政策を研究している。私のCV を参照してほしい。質問があれば答える

    • Swiss Post e-voting システムの検証方式について調べたことがあるか気になる
    • 投票はすべての有権者が直接検証可能でなければならない。手で数えるより複雑なシステムは信頼を失う
 
brilliant08 2026-01-23

電子投票システムは、大衆一般による無作為な信頼性検証という問題を解決できないと思います。
システムのコード検証は選別された特別な層でしか不可能であり、検証したコードが現場で使われたコードと本当に同じかどうかも信頼できないでしょう。
紙の投票結果を電子システムで集計する過程だけを電子化した韓国でどのような論争が起き、どのような社会的混乱が生じたかを見れば、完全な電子投票システムが導入された場合にどのような社会的混乱が発生するか、おおよそ推測できるように思えます。