パスワードを忘れた? アカウント作成
2090177 story
ソフトウェア

インターネット投票システムは簡単に攻撃されてしまう? 51

ストーリー by hylom
たまたま既存のものがダメだったという可能性は? 部門より
taraiok 曰く、

2012年3月2日、ミシガン大学のアレックス・ハルダーマン教授はビデオ動画の中で、現在の技術ではインターネットを活用した電子投票システムは安全に行う方法がないと主張している(本家/.過去記事)。

動画の中では、過去にコロンビア州が行った海外にいる有権者や軍隊にいて投票所に行けない有権者向けのオンライン不在者投票システムの実験(boingboing.net記事)においても、簡単にシステムの脆弱性を見つけてハッキングできたことや2010年9月にワシントンD.Cで行われた公開実験でも、あっという間にシステムに侵入し、(投票数の改ざんやパスワードの変更、ミシガン大の応援歌を流すといった)冗談とも思えるほどのの改変を行っている(AFP BB News記事)。

もちろん、こうした行為はあくまで相手の許諾がある上での実験であり、実際にあなたが許可無くこうしたハッキングを行えば、FBIが午前4時にあなたの家のドアを開けて迎えに来るだろうともしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年03月15日 20時11分 (#2118279)

    たとえばapacheなど、頻繁に使用される物に関しては
    これまた頻繁に修正が加えられ、気の遠くなるような数のセキュリティフィクスが長期間行われているわけですけど
    たとえ、外部にさらされている(=攻撃される)時間が短時間とはいえ、
    歴戦のプログラムと即席の投票システムが同程度の安全性、信頼性を持たせるのは
    とても現実的とは思えないんですが有識者の方はどうお考えでしょうか?

    加えて、「末端が新しいシステムに対応しきれなくて、正しく運営できなかった」という話は
    決して珍しい話では無いですし、ヒューマンエラーを含めるととても電子投票だなんて実現出来る気がしないのです。

    果たしてそんな強固なシステムを構築し、安全に運営することなんて出来るの?

    • by Anonymous Coward

      果たしてそんな強固なシステムを構築し、安全に運営することなんて出来るの?

      「完全無欠、未来永劫絶対安全」なシステムを最初から構築するのは無理でしょうね。
      逆の発想で、「このシステムには何らかの欠陥が必ず存在する」と想定し、思いつく限り
      欠陥をフォローできる対策を用意しておく。それでもすり抜けた欠陥については
      システムの限界として妥協する(社会的に不正であっても今回は正当とする。勿論すぐに対策を施す)
      というのが現実的だと思います。
      これを繰り返せば、「完全無欠」にある程度近づける事が可能だと思います。

      # 法律にも「法の不遡及」があるのは、法律が完全無欠でない事を自認しているからですよね

      端から「完全無欠以外は認めない」とするのであれば、システムなんて何も作れないと思います。

  • by kanta1880 (42886) on 2012年03月15日 14時28分 (#2118094) 日記

    いったいどこじゃ?と元ソース読んだらDCの事のようですね。
    コロンビア州って呼び方します?特別区とかならまだしも。

    • by Hamo73 (35938) on 2012年03月15日 15時17分 (#2118134)

      そもそもboingboing.netの記事とAFPの記事は同じ事例です。コロンビア特別区で2010年9月に行った実験に、ミシガン大学のアレックス・ハルダーマン教授率いるチームがハッキングしたという。

      Washington D.C.のD.C.がDistrict of Columbiaを意味することに気付いていなかったようですね。

      親コメント
    • by Anonymous Coward on 2012年03月15日 14時42分 (#2118107)

      アメリカやイギリスの地名をなんでもかんでも州にするのは/.Jの編集者の仕様なのであきらめてください。

      親コメント
      • by Anonymous Coward

        アメリカ英語をアメリカ語と略したり、ロスでは日常茶飯事だったりするのと同じ種のジョークでしょうか

        • by Anonymous Coward

          アメリカ英語をアメリカ語と略すのはそう間違っちゃいない。

  • 本家の記事を眺めてみたら、「電子投票では匿名性が担保されない(秘密選挙の原則が守れない)」という指摘があって首肯しました。不正な投票でなく投票したのが有権者本人であると確認でき、投票した先の候補者が誰かわかるなら、それらの情報を結びつけて有権者が誰に投票したかわかってしまう、というわけです。通常の投票なら投票箱で票が混ざってしまうので匿名性は保証されますが、電子投票ではこうはいきません。

    投票数の改ざんなど、単なるシステムの実装の脆弱性に対する攻撃なので防ぐことが不可能なわけではありません。それに対して電子投票の匿名性の問題ははるかに根本的な問題だと思うのですが、これを解決しうる方法ってあるんでしょうか?ゼロ知識証明が真であること以外を知らせずに証明できるように、各自がどの投票者に投票したのかわからないが得票するをカウントできるような意外な方法があるのでしょうか。本家の議論を読んでもよくわかりませんでした。
    • by Anonymous Coward

      1. 個人情報を用いた認証後に投票用トークンを配布.
      2. トークンから個人を同定できないが, 正当な方法で入手したトークンであることは検証可能にする
      3. トークンを用いて投票する

      あとはアクセス方法の匿名性が確保できさえすれば良くて,
      むしろこっちが問題なんじゃないのかしら?

      • 投票用紙を郵送しておいて
        希望者には公共料金の集金人みたいな人がネット端末持ってやってきて
        その人に手元が見えないようにして端末操作して投票用紙を渡して終了

        ってのを考えてみたところで
        そもそもネットを使う必要がないことに気がついた。(投票用紙に手書きで書いて集金人に渡せば終わる)

        ユニークなQRコードが印刷された葉書を送付してケータイで読んだら一度だけ使えるように……(葉書はダメだろ)

        もういっそのこと「政府がランダムに選んだ投票人2000人の結果で、全国民の傾向は確認できます!」という統計的サンプリング方式に!(解決になってない)

        親コメント
        • この問題ポイントがかなりわかりづらいんですけど、たとえば独裁政権が「うちも民主的に選挙やるよ!」と言いつつ、実は反乱分子をあぶり出す作戦だったような状況を考えます。この場合、集金人みたいな人も政府のグルですから、集金人は端末にこれから誰が投票するのかを入力しておきます。住所がわかってるので簡単です。投票用紙に書いてもアウトです。集金人があとで投票用紙の裏に投票者の名前をメモしておくだろうからです。さて、投票が終わったら、政府は反政府勢力に投票した国民を政治犯収容所にぶち込むだけです。もちろんQR コードでもアウトです。

          とか考えてたら、普通の選挙でも政府が個人を特定する方法を思いついてしまった。投票用紙を発行するときに、紫外線に反応する不可視インクのようなものでこっそり投票用紙に投票者の名前を書いておきます。有権者は肉眼ではその名前は確認できないので安全だと判断するしかありません。
          親コメント
          • 集票人が悪徳政府とグルだったら、投票人はどうにもできません。
            インターネット投票の問題は、それよりは「なりすまし」防止と「投票内容の秘密」確保との両立が難しいこと。

            今だと投票所で本人確認する、というのが防止策になってます。
            (本人宅に何かを郵送、ってのはポストから奪われたらアウトなので、多重投票の防止にはなっても「なりすましの対策」にはなってない)

            インターネット投票だと、本人にトークンの類いを渡したとして、
            そのトークンを金で売ったり、強引な人が他人の家に踏み込んで勝手に投票作業をやっても(行為自体が犯罪というのは置いといて)「なりすまし」がバレません。
            (あるいは事後にバレた時、投票内容が秘密であれば何を無効票にして良いか不明だし、無効化すべき票が分かるようにすると「誰がどちらに投票したか後から調べられる」=秘密ではないということになる)

            親コメント
            • 「なりすまし」防止と「投票内容の秘密」確保との両立が難しいこと。

              そのとおりですね。

              無効化すべき票が分かるようにすると「誰がどちらに投票したか後から調べられる」=秘密ではないということになる

              ここが非常に惜しいんですが、「トークンを発行している時点で誰がどちらに投票したか後から調べられる」ということです。「誰がどちらに投票したか後から調べられるトークン」は存在するが、「調べられないトークン」は存在しないのではないか、ということです。もし「投票者以外の誰も調べられないトークン」が存在するのなら、それがまさに自分の疑問の答えになります。

              今だと投票所で本人確認する、というのが防止策になってます。

              このあたりの点を最初のコメントで書き忘れたんですが、日本で運用されているような紙に書く代わりにボタンを押すという違いだけの電子投票ではなく、インターネット越しに投票を受け付けるようなシステムについて疑問を述べています。このトピックが「インターネット投票システム」についてのトピックなので、投票所に来るタイプは想定していませんでした。申し訳ないです。

              親コメント
              • 「調べられないトークン」について理解しました。私の理解が追いついてませんでした。
                ご教示ありがとうございます。

                >このトピックが「インターネット投票システム」についてのトピックなので、投票所に来るタイプは想定していませんでした。申し訳ないです。

                いえ、ここも私が謝るところで、「今だと」というのは「紙の投票だと」くらいのつもりで書いていました。

                兎にも角にも、本人確認が難しいんですよね。
                普通に作る限り、「どちらに投票したか」と「投票したのが誰か」という情報を同時に送らざるを得ない。
                本人確認は「事前にトークンに指紋登録して、通信上は「確認できた」という結果しか送らない」としても、場所というか経路はある程度バレる。家から送ったらわりと推定できちゃう。

                アレだ。
                正攻法で安全性を確保しようとかするより、一見穴に見える場所を作っておいて、そこを狙って来る奴は罠に落ちる、ってシステムを作った方が良いかもだ。

                投票者名と投票結果はもうダダ漏れにしちゃおう。でも。
                田中さんと佐藤さんと鈴木さんが居るとき、田中さんは「佐藤さんの投票」として、佐藤さんは「鈴木さんの投票」として、鈴木さんは「佐藤さんの投票」として投票結果が送信される、といったランダマイズがかかるようにする。
                そういうシステムを複数用意し、そのランダマイズ結果はそれぞれの管理者のみ、各システムの連結結果は全体管理者が一人のみ持つ。
                個々の管理者は「自分のシステム内では田中さんがどこに投票したか」は知ることができるけど、「システム内の田中さん」が現実の田中さんかどうかは分からない。
                全体管理者は、順番は知っているけど、誰が誰に対応しているかは何一つ分からない。
                悪の独裁者が反対勢力を掴もうと思うと、管理者全員を同時に抱え込まないといけないし、抱え込んだ上で提出された「暗号化表」が正しいかは分からない(管理者のうち誰かが嘘の暗号化表を提出しても、独裁者は誰が嘘をついたのか分からない)。

                ……いやこれでも穴はあるんですけど、とりあえず追跡が面倒くさくはなるかなって。

                親コメント
          • by Anonymous Coward

            シンガポールでは投票用紙に通し番号が打
            ってあります。偽造防止のためと説明されていますが。

      • 「正当な方法で入手したトークンであることは検証可能にする」は公開鍵で暗号化して送ってもらえばOKです。認証局が信用出来ないなら、最悪事前に選挙管理委員会まで自分の暗号化鍵を手渡ししに行けば安全にトークンを送ってもらえます(それでは電子投票の意義が多少薄れますが)。しかし、「トークンから個人を同定できない」というところ難しいように思います。第三者はトークンを盗み見たとしても個人は同定できませんが、トークンを配布している側はそのトークンを誰に配布したのか当然知っているからです。あとは投票されたらこっそり保管しておいたトークンと個人情報のテーブルを参照して誰に投票したか確かめるだけです。

        >アクセス方法の匿名性が確保
        というのは、アクセスしたのが誰なのかわからないようにするということでしょうか?それができてしまうと、多重投票を防ぐことができません。
        親コメント
        • by Anonymous Coward

          投票開始前に「誰にどのトークンを配布したか?」をリンクさせる情報を破棄すれば良いだけ。
          つまり、トークンのリストはあるが、誰のものかは分からない。

          盗品トークンで投票されたら多重票も可能になるけれど、それを考慮したらどうしようも無い
          事後対応するにはトークン→個人のリンク情報が必須になる

          >アクセス方法の匿名性が確保
          は多分、トークンの送付をもって認証とし、アクセス時に個人のIDを使わないということでしょう。

          • 投票開始前に「誰にどのトークンを配布したか?」をリンクさせる情報を破棄すれば良いだけ。

            民主的で透明性の高い政府なら破棄してくれるでしょうね。そしてもし自分が独裁者なら、誰にどのトークンを配布したかの情報は破棄したと偽って実際には破棄しません。独裁政権の声明を鵜呑みにして反政府勢力に投票した、疑うことを知らない暗愚な反乱分子を後でこっそり始末するのに利用します。

            ちなみに従来のアナログ投票ならそんな心配は不要で、独裁者がどんなに頑張っても反体制派に投票した人物を特定することはできないでしょう。

            # 手品を除くw

            親コメント
            • by Anonymous Coward

              投票システム自体を不正と疑うなら、それこそどんな仕組みを作っても無意味でしょう。

              従来のアナログ投票でも、隠しカメラや投票箱の細工、選挙管理組織ぐるみの不正などを疑ってしまえば何とでもなります。

    • by Anonymous Coward

      Garbled Circuit 使えばなんとかなったりしないのかなーと

    • by Anonymous Coward

      投票所の端末で電子投票した場合にも言えませんかそれ。
      最初に投票する人に投票システムのソースコードを見せて不正が無いことを確認してもらったりするんでしょうか。

      • 言えますね。普通の投票でも最初の投票者が投票箱が空であることを確認する [seesaa.net]ようなものですが、そのソースコードが本当にそのシステムのものかを確認するのは難しいし、システム全体が複雑すぎて疑う部分が多すぎるので現実的ではありませんね。
        親コメント
        • by Anonymous Coward

          電子投票は代筆と同じ
          開票結果が出てくるまではブラックボックス
          透明性と秘密をバランス良く守るシンプルな仕組みが不可欠なはずですが

      • by Anonymous Coward

        よく言われる折衷案としては投票したら結果を印刷した紙が出てきてこれを投票箱に入れるというもの。
        集計結果に疑問がある場合(投票した人の数より票数が多いとか)はこの紙の方を再集計すればよいと
        言われるのですが、電子投票の利点であるコスト削減に逆行するので実用化はされていないみたいです。

        • もしその折衷案を詳しく説明しているWebページがあれば知りたいです。その投票用紙を印刷する機械は誰がどこに投票しているか知っているはずなので、やはり投票の秘密は確保されていないように思います。

          今回の疑問とは別の問題ですが、得票数の水増しがなされる場合も電子的な集計だけいじるような間抜けなことはないでしょう。水増しした票と同じ数だけ印刷もするでしょうから、水増しされても電子的な集計と紙の集計結果は一致すると思われます。
          親コメント
          • by Anonymous Coward

            > その投票用紙を印刷する機械は誰がどこに投票しているか知っているはず

            投票所に来させる限り、他の不正はともかくとして匿名性の問題は起きないように出来ますしそうなってます。
            そもそも現在の日本で使われている方式の電子投票機は、誰が投票しているかを機械が知ることはないんじゃないんですか?
            投票するためのICカードを渡されて、それを使って電子投票して、終わったらカードを返却という手順。
            カードは単に「機械につっこんだら一回投票操作が出来る」というトークンだったはずですが。

            • 誰が投票しているか知ることがないように機械を作ることは可能ですが、そうやって作られていることを投票者が確認する手段がない、ということです。通常の選挙なら投票用紙に仕掛けがないことを確認すれば、投票箱の中で他の票と混ざるので安全だといえます。

              IC カードは1回だけ投票操作ができるトークンだということは機械はそれぞれのICカードを区別できているはずで、投票者の身元を確認してからICカードを渡すのでどの投票者がどのICカードを受け取ったのか把握することが可能です。投票用紙は区別がつきませんが、IC カードはトークンが含まれるのでそれぞれ区別が可能です。したがって、投票者は自分の投票先が(選挙の管理者も含め)他人に知られる恐れがあるのではないか、という疑問です。

              もちろん日本ではそのようなことはしていないとは思いますが、民主的でない政治体制の国では平気で行われる可能性がある、ということです。
              親コメント
              • by Anonymous Coward

                > 通常の選挙なら投票用紙に仕掛けがないことを確認すれば、投票箱の中で他の票と混ざるので安全だといえます。

                つ手品

              • by Anonymous Coward

                ああなるほど、そういう心配はありますね。
                ならば個別識別が出来るICカードなんてものじゃなくてコイン型トークンを使えばどうだろうとも思いましたが、投票機で投票時刻のログを取って、受付では誰が何時頃に投票手続をしたかを記録しておいてつきあわせる、なんて事をされたらどうにもならないですね……

          • by Anonymous Coward

            ありとあらゆる可能性をあげつらって言えばどんな投票方式でも隠しカメラをつけてとか投票用紙に細工してとか難癖をつけられるので、勘ぐり過ぎとしか言えません。

            なぜこれ位自分で調べず他人に投げるのか分かりませんが、電子的投票とともに印刷する方式の紹介は検索すれば手に入ります。
            例えば
            E-Voting Technology Glossary [techtarget.com]
            の"voter-verifiable paper audit trail (VVPAT) or (VVPT)"にごく基本的な説明が、

            Election [virginia.edu]

            • そうですね。別の所でもコメントしたように、投票用紙に不可視インクで投票者を識別させる記号を書いておけばあとで照合できますし、従来の投票方法でも小細工を弄すればいろいろ可能だろうと思います。つまり、電子投票の匿名性の問題点は、「なんの特殊な細工もしない通常のシステムで、普通に投票先と投票者の情報をセットで保持してしまう」という点だといえるでしょう。

              なぜこれ位自分で調べず他人に投げるのか分かりませんが、

              なんでやや喧嘩腰なのかわかりませんが、教えていただいたリンクはこの一連のトピックで自分が求めていた一番有益そうなものです。浅学にて電子投票には疎く検索もままならないことからとても助かります。他のコメントは問題点をちゃんと理解して頂けていないものが多く、「問題はそこじゃないんだよ」と方向修正に手一杯で、ようやく具体的な情報を教えて頂けた初めてのコメントですから嬉しいものです。ありがたく読ませていただきたいと思います。

              # さっき従来の投票の小細工絶対無理って書いたけどちょっと吹きすぎました。反省します

              親コメント
    • インターネット実名制で決まりです。
      匿名の発言は臆病者のすることです。

      • by Anonymous Coward

        >匿名の発言は臆病者のすることです。
        >by Anonymous Coward

        もうこのネタは秋田

  • と、思ったら個人識別以前の問題なんですね・・・

    • by Anonymous Coward

      宗教団体がクライアント証明書を提出させて組織票を投じたりお年寄りの家で代わりに操作してあげるついでに投票したりするのを防ぐ手立てがないことにはなんとも。

      • まあ組織票が強さを発揮するには全体的な投票率は低い方がいいから、
        そういう団体は、電子投票には反対するでしょうね。

        それでもソーシャル的な選挙違反がしやすくなるのは問題ですね。
        投票用紙を回収してずらして投票するといったことより簡単で罪の
        意識も低くなりそうです。

        親コメント
      • by Anonymous Coward

        宗教団体なら今の方式でも組織票を投じるんだから一緒でしょ

        • by Anonymous Coward

          全然違いますよ。
          一家族の中でも熱心な信者とそうでない信者(あるいは信者ですらない人)がいるときを考えて下さい。
          あるいは付き合い上A候補に入れたことにしなければならないけれど、本当はB候補に入れたい人とか。
          宗教団体や特定団体の熱心な信者が一同に集まって投票するんじゃないですよ。熱心な人が個々に散らばって他人の投票を強要したり監視したり買収したりするんです。
          たとえ不正行為を行ったとしても実際の投票では有権者が裏切るかもしれない、というリスクを背負った現状とは差異が大きすぎます。

          はっきりいって匿名性が担保されないインターネット投票は不正の温床ですし、民主主義の根本を否定しています。
          そんなものをやるくらいなら投票率が低いほうがはるかにマシです。

          • 買収や強要をされた有権者というのは案外裏切らないらしいです、まあそれでも
            投票行動を監視しやすくなるのも問題でしょうね。

            本人認証と投票内容の匿名性までは、今の暗号技術でも答えがありそうですが、
            投票作業中のキー操作等を読まれても投票内容を他人に知られないようにする
            のは、新しい理論とか新しい電子デバイスが必要かもしれません。

            例えば、アリスが foo と入力すれば、候補者名簿の一番の人への投票になるけれど
            ボブが foo と入力してもそうならないし、監視者が事前や事後にキーを聞き出して
            いてかつ foo という入力を知っても実はキーは複数あって、異なるキーだと異なる
            候補者への投票となるので、本当のアリスの投票内容は判らない。しかもアリスは
            独力でかつ暗算でキーと候補者番号から foo を導く必要がある。

            親コメント
  • これは「この投票機はクソだ!実際に使われているがな!」って言ってるだけだぜ?
    投票機がクソだったりコード書いてる業者にカネ渡して水増しさせたりってのはだーいぶ前から問題になってるじゃん。

  • by Anonymous Coward on 2012年03月15日 14時55分 (#2118119)

    >FBIが午前4時にあなたの家のドアを開けて迎えに来るだろう

    アメリカって朝の早い人が多いんだよね
    初めて見た早朝のラッシュがとても不思議だった(単に渋滞が酷すぎるから早く家を出るのか?)
    で、日本の税務調査は日中におこなう決まりになってるらしいんだが、FBIにとっては午前4時はもう日中なのか......

    • 単純に、寝起きだと思考力が落ちていて逮捕しやすいからだと思います。
      カッコウはコンピュータに卵を生むか何か忘れたけれど、その手の本で読んだ覚えがあります。
      具体的に午前4時って云ってるのは、文章を面白くするための言葉のアヤで。

      // 野暮だったかな
      親コメント
      • by Anonymous Coward

        びふぉー あれすと ってやつですね<やさしくぜんぶかながきにしちゃったぜ

    • by Anonymous Coward
      税務調査と比較する意味がわからない。
    • by Anonymous Coward

      ストーリーと関係ないのでオフトピ気味ですが…

      彼らの朝が早いのは通勤時間の関係もありますよ。
      平気で朝から2時間ぐらい運転して通勤してますもん。

    • by Anonymous Coward

      通常の税務調査は納税者の同意の下で行われる任意調査なので、勤務時間外に行う必然性を認められていない。
      これをFBIの強制調査と比較すること自体モノが分かっていない。

      裁判所の令状を伴っているマルサの強制調査などの場合は時間など関係なく行われる。

  • by Anonymous Coward on 2012年03月15日 22時02分 (#2118327)

    投票所に行くコストを下げるためのシステム(家からとか携帯から投票できる)の話と
    開票コストを下げるためだけのシステム(開票時間になると表示されるだけ)の話が
    ごっちゃになって繰り広げられやすくてわかりにくい

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...