インターネット投票は安全ではないため、公の選挙では使用すべきでない

インターネットの普及により、日本でもインターネットを活用した選挙運動が解禁されていますが、記事作成時点では公職選挙法においてインターネットによる投票は認められていません。日本でも導入について議論されているインターネット投票ですが、世界の一部の国ではインターネット投票が既に実施されています。しかし、このインターネット投票は安全ではないため、公の選挙では使用すべきではないと、プリンストン大学の情報技術政策センターが運営するCITP Blogが解説しました。

Internet voting is insecure and should not be used in public elections - CITP Blog
https://blog.citp.princeton.edu/2026/01/16/internet-voting-is-insecure-and-should-not-be-used-in-public-elections/

ヨーロッパの小国であるエストニアでは、国政選挙においてインターネット投票が採用されています。しかし、セキュリティの専門家は長らく「インターネット投票の安全性は低く、それを安全にできる技術は未だ存在せず、将来的にも存在しない」と主張してきました。

それでもインターネット投票システムを提供するベンダーは存在しており、「自社の新しいシステムは従来とは異なる」や「安全性の低さは問題ではない」と主張し続けています。こういった主張は誤解を招きやすく、危険なものであるとCITP Blogは指摘しました。

◆すべてのインターネット投票システムは安全ではない
すべてのインターネット投票システムは安全ではありません。この安全性の低さは、適切に運営されている従来の紙投票システムよりも深刻です。なぜなら、ごく少数の人間が、システムを通過する投票の一部あるいはすべてを、検知されることなく変更する権限を持つ可能性があるからです。CITP Blogはインターネット投票が抱える3つの重大な弱点として、以下を挙げました。

1：投票者のスマートフォンあるいはPCにマルウェアが潜んでいると、投票者が選択・確認した投票とは異なる投票内容が送信される可能性がある
投票者は様々なデバイス(Android、iPhone、Windows、Mac)を使用しており、常にマルウェアの攻撃を受けています。サーバー上のマルウェアまたは内部関係者は、投票結果を変更する可能性があります。インターネットサーバーは世界中から絶えずハッキングされており、深刻な結果をもたらすケースも少なくありません。

インターネット投票用の書類が選挙事務所で印刷され、スキャンされるというシステムの場合、選挙事務所にマルウェアが侵入すると投票結果が改ざんされてしまう可能性があります。また、選挙に利用されるコンピューターは、他の政府機関や商用サーバーと比べてそれほどセキュリティ面が万全ではないとCITP Blogは指摘。サーバーは定期的にハッキングされており、壊滅的な被害をもたらしていると言及しました。

4000万人の有権者の個人情報へのアクセスを含むサイバー攻撃があったことについてイギリスの選挙管理委員会が謝罪 - GIGAZINE

2：サーバー上のマルウェアまたは内部関係者が投票結果を変更する可能性がある
インターネットサーバーは世界中から絶えずハッキングされており、深刻な結果をもたらすケースも少なくありません。

3：選挙事務所にマルウェアが侵入すると投票結果が改ざんされる可能性がある
インターネット投票用の書類が選挙事務所で印刷され、スキャンされるというシステムの場合、選挙事務所のコンピューターがハッキングされ投票結果が改ざんされるリスクがあります。選挙事務所のコンピューターは他の政府機関や商用サーバーと比べてそれほどセキュリティ面が万全ではなく、定期的にハッキングされ、壊滅的な被害をもたらしているとCITP Blogは指摘しました。

従来の投票用紙も完全に安全というわけではないものの、インターネット投票の問題は、たったひとりの攻撃者が、大規模な攻撃を一度仕掛けるだけで、膨大な数の投票結果を改ざんできてしまう可能性があるとCITP Blogは指摘。手書きの紙の投票では、このような大規模な改ざんははるかに困難になります。

◆エンドツーエンドで検証可能なインターネット投票システムも安全ではない
「エンドツーエンドで検証可能なインターネット投票システム」(E2E-VIV)という概念もあります。これは投票者が自分の投票が正しく記録され、集計されたことを確認できるようにするためのもので、既存のインターネット投票が持つ弱点を改善するために提案されたシステムです。しかし、E2E-VIVも以下のような弱点を抱えていると、CITP Blogは指摘しています。

1：有権者は確認のためにコンピューターアプリに頼らなければなりませんが、その確認アプリがマルウェアに感染していれば、 有権者にウソをつく可能性があります。

2：有権者は、自分がどのように投票したかを他人に証明できないようにすべきです。専門用語では「レシートフリー」と呼ばれます。そうでなければ、攻撃者がインターネット経由で大量の票を買収する自動化システムを構築できてしまうからです。しかし、レシートフリーのE2E-VIVシステムは複雑で、人々にとって直感に反するものであるとCITP Blogは指摘しました。

3：信頼性が高く、レシートフリーのE2E-VIVチェックアプリを作るのは困難です。既知の最良の解決策は、破棄される投票のみをチェックし、チェックされていない投票を投じることしかできないようにするというものです。これも「ほとんどの有権者にとって非常に直感に反するもの」とCITP Blogは指摘しました。

4：チェックアプリは投票アプリとは別々にする必要があります。そうでなければ、マルウェア対策は全く機能しません。しかし、人間の性からか「チェックプロトコルを実行するための追加手順を実行する有権者」はごくわずかです。もしチェッカーをほとんど使用しないのであれば、チェッカーはほとんど効果がないということになります。

5：たとえ一部の有権者がチェックアプリを使用したとしても、システムが不正行為を行っていると検知した場合(これがチェックアプリの目的)、有権者が選挙管理当局にそれを証明する方法はありません。つまり、効果的に機能する紛争解決プロトコルは存在しないということです。

これまでに提案された既知のE2E-VIVシステムの問題は、「検証」部分が何ら有用なセキュリティ効果をもたらしていないという点にあります。投票者の数％がチェックプロトコルを使用し、システムが時々不正行為を行っていることに気づいたとしても、システムはチェックプロトコルを使用していないすべての投票者の票を盗むことができるためです。「一部の投票者がシステムの不正行為に気づけば、選挙管理者は適切な措置を講じることができる」と考えるかもしれませんが、適切な措置は不可能であるとCITP Blogは指摘。

少数の投票者が証拠もなくシステムが不正行為を行っていると主張したからといって、選挙管理者が選挙を中止することはできません。「これが、紛争解決プロトコルがないということ」であるとCITP Blogは指摘しました。

エンドツーエンドで検証可能な投票システムには「VoteSecure」がありますが、これもセキュリティに重大な欠陥があると指摘されており、CITP Blogも「VoteSecureは安全ではない」と述べています。

VoteSecure - Privacy-Preserving Blockchain Voting
https://votesecure.net/

インターネット投票は既存の技術では安全に保護できないという科学的コンセンサスは、数十年にわたって形成されてきました。将来の技術に関する研究は確かに行う価値がありますが、E2E-VIVシステムに関する数十年にわたる研究は、根本的な問題に対する解決策、あるいは解決の希望さえも生み出していないとCITP Blogは主張しています。

CITP Blogは「インターネット投票システムに関して、選挙管理当局やジャーナリストは『プレスリリースによる科学』に特に注意を払うべきです。いつか、科学的な調査に耐えうるインターネット投票ソリューションが提案されるかもしれないからです。それを評価する最も信頼できる方法は、査読済みの科学論文です。評判の高いサイバーセキュリティ会議や学術誌は、この分野で多くの優れた科学論文を発表しています」と記しました。