オンライン投票はこれまでうまく機能してきた。だが、安全とは限らない

ウェストバージニア州選出の州議会議員エリック・ポーターフィールド氏は視覚障碍者で、通常は投票所でバリアフリー投票機を使って投票しています。通常の郵送投票用紙に記入するには介助が必要となり、投票の秘密を守ることが難しくなります。しかし、1月に可視的な遠隔投票に関する州法が可決されたことで、ポーターフィールド氏は6月9日に行われる同州の予備選挙で新たな選択肢を得ることができました。今回初めて、オンラインで不在者投票を提出する予定です。

「あなたや私、あるいは誰にとっても、最高の基準は、憲法で保障された投票権を秘密投票で実現できることです」とポーターフィールド氏は言う。

新型コロナウイルス感染症（COVID-19）のパンデミックにより、全米の選挙管理当局にとって、インターネット投票はこれまで以上に魅力的な選択肢となっている。しかし、選挙の公正性を推進する団体やセキュリティ専門家は、モバイルアプリであれクラウドポータルであれ、遠隔デジタル投票システムはゴールデンタイムに十分なセキュリティを保証していないと警告し続けている。金曜日、国土安全保障省サイバーセキュリティ・インフラセキュリティ局や選挙支援委員会を含む連邦政府機関のグループは、各州に対しリスク評価書を送付し、「電子投票返送技術は、管理体制が整っていてもリスクが高い」と警告した。

ウェストバージニア州は2018年から、海外在住および軍人有権者がモバイルアプリで投票できるようにしており、現在はこれらの有権者に加え、新州法の対象となる障害を持つ住民向けにクラウドポータルを使用しています。他のいくつかの州も限定的なオンライン投票を許可し始めており、いずれも問題なく行われているようです。遠隔投票推進派は、この実績こそが遠隔投票がもっと普及するべき証拠だと指摘しています。しかし、セキュリティ研究者は、一見成功した試験にはあまり安心感を抱いていません。それは、交通量の多い交差点に一時停止標識を設置するのに事故を待つべきではないのと同じ理由です。

今後数ヶ月間、デラウェア州とニュージャージー州はウェストバージニア州に続き、Democracy Live社を通じて遠隔デジタル投票システムを試験的に導入します。海外在住の有権者および障害のある有権者には、同社のクラウドポータルへのログイン方法を記載したメールが送られます。そこから有権者はPDF形式の投票用紙に記入し、印刷して郵送するか、電子的に提出することができます。Democracy Live社のシステムの特徴は、選挙管理当局がデジタル投票用紙を受け取るとすぐに印刷することです。同社によると、これにより紙の投票記録が残り、後日選挙監査に活用できるとのことです。

「私たちは、権利を奪われた人々に焦点を合わせています」と、デモクラシー・ライブの創設者兼CEOであるブライアン・フィニー氏は語る。「完璧な投票システムなど存在しないと思いますし、完璧なウェブサイトも存在しないと思います。問題は、リスクとリターンをどう調整するかです。これは私たちが考え出せる最善の解決策です。もし誰かが、3000万人の障害を持つ有権者に完全な選挙権を与えるためのより良い方法を持っているなら、私たちはそれを歓迎します。」

Democracy Liveのポータルは、Amazon Web Services（AWS）でホスティングされており、クラウドプロバイダーである同社が米国連邦政府向けにセキュリティに重点を置いたFedRamp認定サービスを利用して運営されています。また、投票者のPDFファイルにはAWSの「オブジェクトロック」機能を使用し、提出内容の改ざんや削除を防止しています。このシステムは、Shift StateとRSM Labsという第三者セキュリティレビュー機関による監査を受けていますが、これらのレビューは非公開です。Democracy Liveが投票に利用される場合、選挙結果を確認するための遡及監査も実施されます。

多くのセキュリティ研究者がWIREDの取材に対し、投票へのアクセス拡大への願望は共有しており、遠隔デジタル投票システムの安全性確保に向けた取り組みは高く評価しているものの、これまで実施されてきた表面的な対策だけでは満足できないと述べている。連邦政府が承認した機器やシステムを使用すれば十分であるように思えるのは当然だが、政府自身のデジタルセキュリティに関する実績は痛ましいほど脆弱だと彼らは指摘する。国家安全保障局（NSA）でさえ、システムがハッキングされたことがある。最も注意深い金融機関、テクノロジー企業、医療機関でさえ、同様の状況にある。

「ソフトウェア・ハードウェア業界全体がこれほどひどい状況であれば、新しい製品が魔法のように非常に安全で、セキュリティが高く、堅牢になるなどという前兆は見られません」と、米国政府と民間企業で勤務経験を持つセキュリティ研究者、ピーター・ザトコ（通称マッジ）氏は語る。「業界全体がまだ解決できていない基本的な問題を、小規模な組織が平気で解決しようとしていることを考えてみてください。また、秘密投票という側面を維持しながら、差別なく地域や国レベルの投票を行うという複雑な状況も考えてみてください。本当にひどい話です。」

例えば、Democracy LiveのAWSセキュアクラウドと改ざん防止PDF保護は確かに便利ですが、セキュリティの万能薬ではありません。有権者がクラウド経由で投票用紙を提出した場合、選挙管理官が後日印刷した用紙が自分の投票を正確に反映しているかどうかを確認する方法はありません。また、選挙後の監査がその紙の記録に基づいて行われる場合、印刷前に行われた改ざんを発見することはできません。

「ペーパーレスの直接記録式電子投票機から投票用紙の画像を印刷するのと何ら変わりません」と、ニューヨーク大学ロースクール、ブレナン・センター民主主義プログラムの副所長、ローレンス・ノルデン氏は言う。「電子記録が既にハッキングされているのであれば、何の意味もありません。」

Democracy Liveは2008年に設立され、2010年から投票用紙返送クラウドポータルの試験運用を行っています。同社によると、同社のセキュアポータルは96カ国1,000件以上の選挙で利用されています。しかし、セキュリティ専門家は、組織がこれまで問題なく選挙に参加してきた実績があるからといって、必ずしもそのシステムが安全であるとは限らないと強調しています。

それでもフィニー氏は、専用のクラウド投票ポータルは、米国で既に存在するアドホックなデジタル投票よりも安全だと主張している。他のオンライン投票推進派もこの点を強調している。19の州とコロンビア特別区では、比較的少数の海外在住有権者がファックスまたはメールで投票用紙を返送できるようになっている。さらに7つの州では、ファックスのみでの返送が許可されている。こうした不統一な状況は、軍人や海外在住の市民に十分な時間と投票機会を与えることを目的とした連邦法を遵守するための努力から生じている。

「投票用紙自体は依然として紙の投票用紙であり、メールで送信する場合は、印刷して手書きで記入し、スキャンする必要があります」と、マサチューセッツ州の選挙を監督する州務長官事務所の広報担当者、デブラ・オマリー氏は述べている。「一般的に、市町村が受け取る投票用紙は、1つの選挙区につき1～2枚程度、あるいは全く届かない場合もあります。もちろん、大統領選挙や、軍人や海外在住の有権者が多い地域では、必ずそれ以上の票が届きます。」

選挙制度の健全性とベストプラクティスを推進する団体であるVerified Votingは、インターネットを利用した投票用紙返送方法に反対を唱えています。しかし、比較的ニッチなケースよりもさらに懸念されるのは、インターネット投票が数百万人の障害者や全米の有権者に大規模に拡大されることです。

ウェストバージニア州選出のポーターフィールド議員は、特に利用者数が限られていることを考慮すると、デモクラシー・ライブの遠隔デジタル投票システムは安全であると信じていると述べている。

セキュリティ専門家たちは、「障害のある方々への影響は限定的であるものの、投票の安全確保に尽力し、素晴らしい仕事をしてくれました」と彼は言う。「正直に言って、デジタル投票をするほどの重度の障害を持つ人は、国民のごく一部に過ぎませんから」

しかし、ウェストバージニア州でデモクラシー・ライブの試験運用に資金提供している組織、タスク・フィランソロピーズは、はるかに野心的な長期目標を掲げています。ベンチャーキャピタリスト、ブラッドリー・タスク氏のタスク・ホールディングスの慈善部門であるこの団体は、「人々がスマートフォンで選挙に投票できるようにする」という明確な使命を掲げています。この使命を実現するために、同団体は全米の州および地方選挙管理当局と協力し、当局が審査・選定したベンダーやプラットフォームを用いたモバイル投票の試験運用に資金を提供しています。タスク・フィランソロピーズのシーラ・ニックス会長は、現実的に考えて今年中に全米でオンライン投票が普及することはないだろうと認識しているものの、2024年までにモバイル投票を広く普及させるという組織の目標達成に向けて前進したいと語っています。

「最初は軍人と海外在住の有権者を対象に試験的に導入しました」と彼女は語る。「良いスタート地点だと思ったのです。2018年にはウェストバージニア州で大きな成功を収め、2019年には複数の試験運用を実施しました。」

セキュリティ研究者は、インターネット経由で投票を送信するシステムはすべて大きなリスクを伴うと述べています。医療や金融といった機密性の高い業界がインターネット対応システムに依存しているのは事実ですが、これらの組織は選挙システムよりもリスクを許容し、侵害の影響にうまく対処できると彼らは強調しています。投票システムは有権者のプライバシーを保護する必要がありますが、銀行や病院は保有するデータに継続的にアクセスし、確認することができます。この違いが、安全な投票システムの構築を非常に困難にしています。

「米国がオンライン投票プラットフォームに移行するのは大変な作業になるだろう。これまでで最大のプロジェクトの一つだ」と、セキュリティコンサルティング会社TrustedSecのCEOで、かつてNSAと海兵隊の信号諜報部隊に勤務していたデビッド・ケネディ氏は語る。「実現は可能だが、私にとっては月へ行くのと同じくらい大変な作業だ。綿密に検証された設計、不正使用や攻撃を防ぐための多層構造のアーキテクチャ、そして徹底的な監査と監視が必要となるため、まさにそのようなプロジェクトなのだ」

インターネット投票推進派は、郵便投票システムが大規模な投票用紙傍受計画によって攻撃される可能性を頻繁に指摘しています。研究によると、そのような作戦は実際には実行が困難ですが、改ざんのリスクは常にわずかながら存在します。一方、ハッカーが郵便受けを次々と回らなくても自宅にいながらにして攻撃できるデジタルシステムでは、大規模な投票操作のリスクは大幅に高まります。

2月のアイオワ州党員集会のモバイルアプリのメルトダウンは、セキュリティ問題ではなかったものの、インターネット投票への急速な導入のリスクについての教訓となった。しかし、試験運用が成功したとしても、遠隔デジタル投票システムが安全であることの証明にはならない。インターネットに接続されたあらゆるシステムと同様に、まだ悪用されていない欠陥や、検知されていない攻撃を受けている可能性がある。これは理論上のリスクではない。エストニアは、研究者らが2014年にシステムのセキュリティレビューを発表し、多数の重大な脆弱性を指摘するまで、10年近くインターネット投票システム「I-voting」を使用していた。また、マサチューセッツ工科大学の研究者らは2月、モバイル投票アプリ「Voatz」に複数のセキュリティ上の欠陥があることを発見した。ウェストバージニア州は2018年に海外在住の有権者向けにVoatzアプリを使用し、2020年にも使用する予定だった。同州はMITの研究発表から数週間後にDemocracy Liveに切り替えた。

「結局のところ、そういうことです」とケネディ氏は言う。「今日ハッキングされていないからといって、明日ハッキングされないとは限らない。あるいは今日遅くにでも」

WIREDのその他の素晴らしい記事

• 東京湾での27日間：ダイヤモンドプリンセス号で何が起こったのか
• 44歳でマラソンのベスト記録を出すには、過去の記録を超えなければならなかった
• 人々が飢えているにもかかわらず、なぜ農家は牛乳を廃棄しているのか
• フリースウェアとは何か？そして、どうすれば身を守ることができるのか？
• 自宅で髪を切るためのヒントと道具
• 👁 AIがCOVID-19の潜在的な治療法を発見。さらに、最新のAIニュースもお届けします
• 🏃🏽‍♀️ 健康になるための最高のツールをお探しですか？ギアチームが選んだ最高のフィットネストラッカー、ランニングギア（シューズとソックスを含む）、最高のヘッドフォンをご覧ください