2020/10/27

米国選挙の投票のセキュリティにおける 7 つの虚構

2020 年 10 月 27 日 編集部記事

米国大統領選挙まであと少しとなった今、投票についてニュースが流れ、国民の関心をほぼ独占しています(しかし、この選挙期間が終わることを待ち望んでいる人も多いでしょう)。最近のニュースで、投票におけるセキュリティが多く取り上げられていることが、特にその関心の原因でもあるでしょう。

米国の選挙を操作しようとしている国家規模の敵対者にしても、投票者を混乱させるために偽のロボコールをしている国内のパルチザンにせよ、投票のプロセスへの国民の信頼を貶めているトランプ大統領自らにせよ、2020 年の大統領選のセキュリティには誰しもが不安を抱いています。

そのことを念頭に、投票のセキュリティにおける 7 つの虚構を検証していきます。

1. ハッカーは最初に投票機を狙う

ニュースでもその手法が多々紹介されることから、おそらく投票のハッキングと聞いて一般に思い浮かべるのはデジタル投票機のハッキングでしょう。論理的には一理あり、選挙に影響を及ぼしたいのであれば、票自体を直接書き換えるのが最も明確なやり方のようにも思えます。しかし、投票機を直接標的にすることは、2020 年の選挙を操作するために国家の支援を受けた攻撃者が使用する手段としては、最も考えにくいものです。

そのことを踏まえて明確にすべきことがあります。それは、デジタル投票機はハッキングに対して脆弱だという事実です。研究者は、特定の機械で、選挙結果の改竄を目的として犯罪者が悪用できるセキュリティの脆弱性を、いくつも発見してきました(しかしその多くの脆弱性を悪用するには、機械を物理的に操作する必要があります)。ですが、可能であるということは、可能性が高いということを意味するわけではありません。

何故でしょうか。第 1 に、米国では州ごとに異なる投票方法と設備を使用しているためです。同一州内でも地域ごとに設備が異なる場合も多いでしょう。ハッカーが大量の投票を書き換えるために、単一の機械や標準を標的にすることはできません。理論的には、賢いハッカーであれば、選挙の鍵となる激戦州に焦点を当てて攻撃することも可能ですが、いずれにせよ機械に物理的に干渉することが必須になります。国内でも種類の異なる多くの投票機で結果を変える行為は、大変な苦労を伴う作業です。

第 2 に、そしてより重要なことに、デジタル投票の改竄が認められた場合の米国の対応は、とても極端なものだと思われるからです。国家支援型の攻撃者が「受動的」に選挙を操作していることは既知の事実です。もし彼らが機械を直接ハッキングして投票を改竄するようなことがあれば、おそらく動的な手段がとられるでしょう。それは戦争という形を取るでしょう。国家の支援を受けている攻撃者は、選挙に関わるデマをすでに受動的な形で拡散することに成功しています。より直接的な攻撃によってリスクをとる必要があるでしょうか。

2. オフラインのデジタル投票機は安全である

投票機に関してよく聞かれるもう 1 つの虚構は、オフラインの設備の方が、インターネットをはじめいかなるネットワークにも繋がれていない分、より安全であるというものです。
これは完全なおとぎ話です。すでに触れましたが、投票機の欠陥の多くは、物理的に露呈するもので、しかし同時にそれはオフラインであっても露呈するということです。1 日のうち 1 台で何百人もの票が間違って記録されたら、それだけでも問題です。

「しかし投票機に物理的なアクセスをすることは容易ではない上、1 台ずつしか影響を及ぼせないはずだ」と思われるでしょうか。それは間違いです。忘れてはいけません。オフライン、オンラインに拘らず、このデジタル機器はまとめて出荷されることが多々あります。同じ倉庫から出発して、同じトラックに載せられることも多く、その際に攻撃者が介入したら、多くの機器を 1 度に侵害することができます。選挙前に、投票機が安全ではない部屋で数日間あるいは数週間放置され、攻撃の意図を持った者がアクセスしやすくなっていたことがある、という報告もあります。開票の際には機械からデータを抽出しなければならないという事実も忘れてはいけません(SD カードやその他のストレージが使用されることが多々あります)。これは、投票のサプライチェーンにおけるもう 1 つの攻撃機会ともなっています。端的に言えば、オフラインの投票機は、決して選挙のセキュリティの「最適解」ではないということです。

3. ブロックチェーンがデジタル投票のセキュリティ問題を解決する

米国ではオンラインデジタル投票はまだ導入されていませんが、検討はされています。その議論の中では、必ずと言っていいほど、「ブロックチェーンを使用すれば、安全に暗号化された改竄できない台帳で投票のセキュリティを担保できる」という話が上がります。ブロックチェーンとは、すべての取引を、暗号で署名され改竄できない状態で、ピアツーピアの台帳を用いて安全に記録する方式で、ここでハッカーが記録を変更することはできません(暗号通貨を盗んで逃げることもできません)。

安全、かつ完全に公開された何らかの記録台帳が必要であれば、ブロックチェーンはたしかに便利な技術で、特定の問題を解決します。安全なオンライン投票の一端を担うことは間違いありません。しかし問題は、技術にそれほど詳しくない人々はブロックチェーンについて、まるでそれがすべてのセキュリティの問題を解決する万能薬であるかのように語るということです。それは虚構です。たしかに将来的にブロックチェーンがオンライン投票の役に立つ可能性はありますが、信頼性できる安全なオンライン投票の標準を作るためには、それ以外にも数多くのセキュリティ上の課題が存在します。その 1 つは、これだけ認証情報にまつわる詐欺が横行する中で、ユーザを電子的にどのように認証するのか、ということです。また適切なオンライン投票の標準が作成できても、単純なマルウェアがユーザのコンピュータに感染していて、秘密裏にユーザの票を書き換えることができるとしたらどうでしょうか。

つまり、オンライン投票の標準がこれからの 10 年で作成されるとして、その仕組みの中にブロックチェーンが導入されることは極めて可能性が高いものの、ブロックチェーンさえあればデジタル投票は安全に保たれるわけではない、ということです。

4. 選挙について外国から発信される情報は作り話、あるいはフェイクである

ここまで読んできて「それほど虚構が多いのなら、なぜいまだに選挙のハッキングについてニュースで耳にするのか?」とお考えかもしれません。国家の支援を受けた攻撃者は、あくまでデマを拡散することで有権者を煽り、国を二極化させているのであって、選挙を直接ハッキングしているわけではありません。

最近のニュースを見ていれば、ロシア、中国、イランなどの国家の支援を受けたハッカーが、米国選挙を巡って国民を操作しようとしているという内容の報道を聞いたことがあるでしょう。投票のセキュリティに関してこの虚構は、デマが「何」であるかということにまつわるものです。多くの人が、その情報はまったくの嘘やフェイクニュース、作り話だと考えています。しかし情報はあくまで事実であり、それを多くの人々に届けることで、攻撃者はコミュニティを二極化させようとしています。たとえば、プラウド・ボーイズや白人至上主義者のグループについて耳にする機会が増えているかもしれません。これらのグループはでっちあげではありません。実際のアメリカ市民が所属する、実在のグループです。しかし、米国内のごく少数派を代表するにとどまり、一般的に大きな発言力はありません。そこで、国家の支援を受けた攻撃者がプロパガンダやデマを垂れ流すことになります。攻撃者は、非常に過激なグループに多少なりとも似た信念を持つグループを見つけます。とはいえ極端なグループが行っていることを必ずしも同じように信条としているわけではありません。

むしろ平時であれば、そのグループがあまりにも過激だと思っている可能性もありますが、ソーシャルメディアを使用することで、これらのハッカーはより過激なグループに関する記事やミームを掛け合わせ、同じような関心や全体的なイデオロギーを持つ、より多くの聴衆に向けて発信することができます。そして時を経て、当初はそれほど過激ではなかったグループがより過激になっていくという仕組みです。ここでは右翼を例に取りましたが、政治のスペクトラムにおいて、このデマ戦略は左右両方で見られます。

5. デジタル投票の標準を国内で画一化することは大きな危険を伴う

もう 1 つの広く信じられている虚構は、オンライン投票の標準を画一化することは、大きなリスクであり、安全ではないというものです。オンライン投票についてコミュニティで話題が出るなか、それが安全であることは決してなく、実現するべきではない、と主張するセキュリティ研究者は多くいます。彼らが言うには、このような投票システムは欠陥や脆弱性だらけだということは歴史が証明しており、つまりオンライン投票システムを作っても欠陥だらけに違いない、というものです。また、全国で画一化したシステムを使用すると、攻撃者にとって格好の標的になる、と警告します。筆者はこの意見には反対です。許容できる程度に安全なオンライン投票を構築することは可能であり、システムを保護するためにはむしろ画一化したシステムである必要がある、と考えます。そもそも完璧なセキュリティなど存在せず、オンライン投票のいかなるシステムも、不可避的に、最後には欠陥を露呈することになります。しかし、露呈する欠陥を大きく減らす安全な設計パラダイムは存在するはずです。そしてその他の補助的な措置によって、露呈した欠陥の影響を最小限に抑えることもできるはずです。

暗号解読コミュニティがそのいい例です。多くのビジネスが(そして政府の情報機関が)セキュリティを暗号化や暗号解読の技術に頼っています。その上でなお、暗号技術にも欠陥があり、不適切に実装されている場合もあります。そのため、この業界では一致団結して、新しい暗号化技術の詳細については包み隠さずすべて公開しています。暗号化の標準の仕組みについてオープンに公開することで、数学者や暗号の専門家たちが、一般公開で提案された標準について、欠陥や間違いを見つけて標準を何度も見直すため、積極的に指摘をしたり、批判をしたりすることができます。新しい暗号化技術は、リリースされ、標準として支持される前に、数年、時には 10 年以上も、テストを公開で行っています。

標準的なデジタルオンライン投票機構にも同様のことが行えるはずです。セキュリティ、暗号、テクノロジのコミュニティとともに設計し、公開した上で何年もかけてテストを経れば、実用化前にそれらの欠陥を修正することができるはずです。たしかに 1 つの標準を使用し公に採用することで、攻撃者にとっては標的が明確になりますが、それはほとんどの暗号化技術にとって同じです。オープンテストを行えば、安全になり、攻撃への耐性も強化されます。

6. 郵便投票は安全ではない

残念ながら、2020 年時点では、国外からの攻撃者が票を操作しようとしくるのを阻止しなければいけないだけではなく、より大きなリスクとして、国のリーダーが投票のセキュリティに対する国民の信頼を嘘によって失墜させようとしているようです。今年、政界のリーダーたちは、「不誠実で遅い[郵便投票]はなんと悪いものだろうか」というスローガンとともに、郵便投票の不信を呼びかける運動を行い始めました。この主張は、単純に嘘であり、その証拠として多くの研究があります。

第 1 に、不在者投票について。郵便投票の一種で、3 分の 2 の州において、長年存在してきました。そこでは、郵便投票のセキュリティが試されてきました。不正の事例はあったか?たしかにありました。しかし、それは統計的には無関係で、とても少ないものです。不正は、そのほかの投票方法でも起きることにも注目すべきです。郵便投票によって不正が増えるという証拠はありません。もし不正について本気で心配するのであれば(統計的に見たら重要ではないものの)投票における間違いのほとんどは事務的なエラーだということを認識すべきです(つまり人間が不本意に犯しているミスです)。このような問題は、郵便投票であるかどうかに拘らず、常に起こります。郵便投票がよりリスクが高く、他の手法と比べても不正も起きやすいという主張は、端的にいって、事実に基づいていません。

7. 投票における不正が蔓延しており、あなたの一票は無意味である

このような投票のセキュリティに関する懸念は、国外、国内の要因を問わず、あなたの一票に価値がなく、数にすら入っていないかもしれないと思わせるようにできています。これは、民主主義を攻撃する人々によって仕組まれた、完全なる虚構です。もし 1 つだけ虚構に注意しなければならいとすれば、私はこの虚構を挙げるでしょう。あなたの一票には、意味があります。そして米国におけるほとんどの投票は、きちんと投票しさえすれば、正常にカウントされます。外に出て、投票に行きましょう。票は守られていないかもしれないという不安に負けてはなりません。攻撃者がシステムを侵害することはたしかにありますが、それに抵抗して生活を続ければ、必ずや人々の一票は意味あるものになります。投票に行きましょう!

投票の不正に関する虚構についてより詳しく知りたい方は、パルチザンではない Brennan Center 氏によるこの記事(外部サイト/英文)をお読みください。

スパムメール対策機能強化のためのエンジン移行について(2021/4/1)