通信の遅延に基づいて選挙のオンライン投票者の所在地を推測する仕組みとは？

すでに一部の国では有権者が自宅などからインターネットを通じて投票できる「オンライン投票(インターネット投票)」が導入されており、日本でも茨城県つくば市がオンライン投票の導入を目指し、インターネットを利用して市民が参加できる模擬投票などを行っています。そんなオンライン投票で課題となるのが、「有権者が本当に申請された住所に住んでいることかをどうやって確認するのか？」という点です。この問題を解決するため、「通信の遅延に基づいてデバイスの物理的な位置を推測する」という方法が提案されました。

Proof of location for online polls - Network Latency Geolocation
https://ip-vote.com/geolocation_via_latency.html

インターネット投票であれば有権者が世界中のどこにいても投票が可能となりますが、選挙では特定の国や地域に住んでいる人に投票権が与えられることから、投票者の所在地が確認できない点がリスクとなります。仮にIPアドレスに基づいたフィルタリングを実装しても、送信側のIPアドレスを偽装するIPスプーフィングなどの手法で突破することが可能です。

こうしたオンライン投票の不正を防ぐために提案されているのが、「ネットワーク遅延に基づいてデバイスの位置情報を推測する」という仕組みです。既知の物理法則によれば、たとえインターネット通信に用いられる信号であっても光速を超える速度にはならないため、オンライン投票を行う通信には必ずある程度の遅延が発生します。異なるサーバーに対する複数の遅延を測定し、各通信ごとに地球の表面上に「デバイスの存在しうる領域」をプロットすることで、その領域が重なる場所にデバイスがあると推測できるとのこと。

たとえば以下は、世界各地にある8つのサーバーに対する通信の遅延に基づき、デバイスが存在しうる領域をサーバーごとに円で示したもの。個々のサーバーから推測される領域は広いものの、すべての円が重なる領域はかなり狭い範囲に限定され、図中の赤い色で示された範囲にデバイスがあると推定されました。以下のケースでは、デバイスが赤色で示された領域に重なるオランダのアムステルダムにあったとのことで、通信遅延に基づく位置情報の推測がうまく機能していることがわかります。

この位置情報推測プロセスは、インターネットインフラストラクチャーを介したデータ送信の物理的な制限に依存しています。通信に用いられる信号は光ファイバーケーブルを移動し、その速度は真空中の光の約3分の2程度だとのこと。また、ルーティングの非効率性や電子機器により、信号の遅延は20％以上増加するそうです。

これらの制限を利用することで、サーバーとデバイスの位置関係を推測することが可能となります。たとえ悪意のある人物が見かけ上の位置情報を変更しても、光速を超えて遅延をズラすことはできません。また、すべてのサーバーに対して異様に遅延が遅いユーザーは、VPNを使用して位置情報を偽装していると考えられるため、投票から除外することができます。

通信遅延に基づく位置情報推測を機能させるには、「まずクライアントとサーバーのクロック差を概算する」「測定用の信号を一足先に送信して位置情報をごまかす操作を防ぐため、マスターサーバーが乱数を生成してクライアントのデバイスに送信し、それを遅延測定サーバーに中継させる仕組みにする」「サーバーとのHTTPSリクエストを確立して測定に不要なノイズを防ぐため、遅延の測定前にクライアントのデバイスからサーバーにリクエストを送信する」といった作業が必要です。

通信遅延に基づく位置情報推測を採用した場合、悪意のある人物が位置情報をごまかすために「対象地域内の複数のデバイスを制御し、それを利用して投票を行う」「サーバーが接続されているルーティングインフラストラクチャーの複数のポイントでリクエストを操作する」「一連の操作を気付かれないようにする」といった追加の作業とリソースが必要となります。投票操作のコストが高くなればなるほど、悪意のある人物が攻撃を仕掛けることが難しくなります。

ブログでこの方法について解説したクリス・リエックマン氏は、「ネットワーク遅延三角測量に基づくジオロケーションは、デバイスの物理的な位置を高い信頼性で特定する方法です。これは、投票レスポンスが意図された地域以外から発信されたことを検出し、IPアドレスに基づくジオロケーションやIPレピュテーションを超える追加の検証層として使用できます。投票結果が真に信頼できるものであるには、位置情報測定は複数の独立した監査団体によって実行されるべきです」と述べました。