欧州デジタルIDウォレットの年齢確認メカニズムを、Google Play Integrity と Apple App Attestation に結び付ける案が検討されている。公式の GitHub では議論が殺到し、近300件の反対書き込みが寄せられ、開発者コミュニティは一斉に「この行為は、仕様で定められたカスタムの相互運用性原則に反する」と痛烈に批判している。
(これまでの経緯:欧州が強硬にアップルに警告:iOSシステムを開放しなければ、最大で世界売上高の20%を最重罰)
(背景補足:欧州が共同で防疫デジタル追跡プラットフォームを立ち上げたのに、今度は「非中央集権の協議 DP3T」をこっそり撤去したとの話)
この記事の目次
Toggle
コメントが何に怒っているのか:主権、開放標準の双方が後れを取る
セキュリティ研究者 2 分で App PIN を破解
各国各様の道:オランダとイタリアは全面受け入れ、スイスは中止を宣言
欧州が推進するデジタルIDウォレット(EU Digital Identity Wallet)の年齢確認仕様は、アプリと端末の真偽検証を一式まるごと Google Play Integrity API と Apple App Attestation に結び付けようとしている。発表のたびに、公式 GitHub の議論スレッドは瞬く間に流入であふれ返り、開発者コミュニティはほぼ一様に「やめて」と叫ぶことになった。
「Do not add Google Play Integrity integration(Google Play Integrity の統合を追加しないで)」と題されたこの議論スレッドは、開発者 TheLastProject が立ち上げた。多数のコメントに共通する主張はシンプルだ。年齢確認は、2社の米国テック大手の専用サービスに固定されるべきではない。
2つ目の切り口は、仕様が自ら口を滑らせた点だ。欧州デジタルIDウォレット仕様の3つの大原則は、Google と Apple の私有の検証サービスへの強制的な結び付けを義務化している。これは「相互運用性」と「オープン標準」の両方に同時に違反しているのと同義だと開発者は疑問を投げかける。標榜するのは開放的な公式仕様であるのに、なぜ結局は米国の2社だけを正とする方向に行き着くのか。
3つ目の切り口はデジタル主権だ。複数の書き込みは、政府サービスは第三者の外部サービスに依存すべきではないと強調する。依存が増えるほど、潜在的なサイバーセキュリティリスクも一段増える。さらに、Google や Apple がポリシーを変更したり、サービスを停止したり、あるいはシステミックな脆弱性が発生したりすれば、各国政府の身分確認メカニズムは「連座して」停止を余儀なくされる。
オランダの非営利組織 Waag Futurelab も戦いに加わり、〈European digital ID wallets are a gift to Google and Apple〉という記事で、これらのウォレットは Google Play Integrity API と Apple の端末認証メカニズムに依存しており、政府が民間企業のプラットフォーム方針の執行者になるのだと断言した。Waag はさらに、Google Play Integrity API のこの種の設計は、大企業による独占を防ぐことを目的とした欧州の《デジタル市場法》(DMA)に抵触する可能性があるとも名指しで指摘している。
セキュリティ研究者 2 分で App PIN を破解
脅威モデルも検証対象として持ち出された。あるコメントは、こう直接問い返している。「悪意ある人物が端末にリモート侵入して、“成人済み”の証明を盗み、成人向けサイトを閲覧するのを防ぐために、システム全体をハードウェア認証にまで結び付ける価値はあるのか?」さらに、年齢確認をネイティブアプリにする必要はないのではないかという疑念もある。現代の Web アプリに Digital Credentials API を組み合わせても、同じ効果は実現できるはずだ。
強制的な結び付けによる排他性にも不満が噴出している。開発者は、Google や Apple のソフトをインストールしていないユーザー、または de-Googled(例:GrapheneOS、e/OS)システムを使う層は、デジタルIDサービスから直接排除される可能性があると指摘する。イタリアのウォレット(Italian Wallet)は過去に Play Integrity 統合で不具合が出た事例があり、前例として繰り返し引用されている。
各国各様の道:オランダとイタリアは全面受け入れ、スイスは中止を宣言
各国政府の姿勢は一枚岩ではない。オランダとイタリアは現在、条件なしで Google Play Integrity を採用している。一方スイスは、データ保護、データ主権、ユーザーの選択の自由などの考慮から、Android に内蔵された認証メカニズムを採用し、直接 Play Integrity を見送った。
ベンダー側も鎮火に動いた。年齢確認アプリの供給業者 Scytales は、同社の EU における年齢確認アプリの完全性チェックは Google や Apple に依存しないと表明している。オープンソース側の陣営からも代替案が提示された。Volla Systeme GmbH が主導する「Unified Attestation」で、短期の統合用トークンとオフライン検証を売りにし、Play Integrity と併存できる。この案は一部のコメントで妥協策として見られている。
議論スレッドでは、自称セキュリティ従事者が複数、「これは“プライバシーとセキュリティの悪夢”だ」と述べている。さらに踏み込んだ声としては、あらゆるオンライン年齢確認、あるいは身分照会制度そのものに反対するという意見もある。とはいえ確かなのは、欧州デジタルIDウォレットの仕様策定プロセスは、これまで常に世界のテンプレートとして見なされてきたということだ。Google Play Integrity の統合が最終決定されれば、他の国々の参考になり、その既成事実が広がってしまう恐れがある。今回の抗議は、おそらく始まりにすぎないだろう。
EUのデジタルウォレットが年齢確認──GoogleやAppleに紐付けたい?開発者がGitHubに爆撃し、プライバシーの悪夢が見えた
欧州デジタルIDウォレットの年齢確認メカニズムを、Google Play Integrity と Apple App Attestation に結び付ける案が検討されている。公式の GitHub では議論が殺到し、近300件の反対書き込みが寄せられ、開発者コミュニティは一斉に「この行為は、仕様で定められたカスタムの相互運用性原則に反する」と痛烈に批判している。
(これまでの経緯:欧州が強硬にアップルに警告:iOSシステムを開放しなければ、最大で世界売上高の20%を最重罰)
(背景補足:欧州が共同で防疫デジタル追跡プラットフォームを立ち上げたのに、今度は「非中央集権の協議 DP3T」をこっそり撤去したとの話)
この記事の目次
Toggle
欧州が推進するデジタルIDウォレット(EU Digital Identity Wallet)の年齢確認仕様は、アプリと端末の真偽検証を一式まるごと Google Play Integrity API と Apple App Attestation に結び付けようとしている。発表のたびに、公式 GitHub の議論スレッドは瞬く間に流入であふれ返り、開発者コミュニティはほぼ一様に「やめて」と叫ぶことになった。
「Do not add Google Play Integrity integration(Google Play Integrity の統合を追加しないで)」と題されたこの議論スレッドは、開発者 TheLastProject が立ち上げた。多数のコメントに共通する主張はシンプルだ。年齢確認は、2社の米国テック大手の専用サービスに固定されるべきではない。
コメントが何に怒っているのか:主権、開放標準の双方が後れを取る
反対派の最初の切り口は、オランダの身分証アプリ「Yivi」(前身は IRMA)だ。このアプリはすでに、Google のサービスに一切依存せずに年齢確認を完了でき、さらにはオープンソースのストア F-Droid にも掲載されている。これにより、Play Integrity の統合は技術的に必須条件ではないことが直接示された。
2つ目の切り口は、仕様が自ら口を滑らせた点だ。欧州デジタルIDウォレット仕様の3つの大原則は、Google と Apple の私有の検証サービスへの強制的な結び付けを義務化している。これは「相互運用性」と「オープン標準」の両方に同時に違反しているのと同義だと開発者は疑問を投げかける。標榜するのは開放的な公式仕様であるのに、なぜ結局は米国の2社だけを正とする方向に行き着くのか。
3つ目の切り口はデジタル主権だ。複数の書き込みは、政府サービスは第三者の外部サービスに依存すべきではないと強調する。依存が増えるほど、潜在的なサイバーセキュリティリスクも一段増える。さらに、Google や Apple がポリシーを変更したり、サービスを停止したり、あるいはシステミックな脆弱性が発生したりすれば、各国政府の身分確認メカニズムは「連座して」停止を余儀なくされる。
オランダの非営利組織 Waag Futurelab も戦いに加わり、〈European digital ID wallets are a gift to Google and Apple〉という記事で、これらのウォレットは Google Play Integrity API と Apple の端末認証メカニズムに依存しており、政府が民間企業のプラットフォーム方針の執行者になるのだと断言した。Waag はさらに、Google Play Integrity API のこの種の設計は、大企業による独占を防ぐことを目的とした欧州の《デジタル市場法》(DMA)に抵触する可能性があるとも名指しで指摘している。
セキュリティ研究者 2 分で App PIN を破解
脅威モデルも検証対象として持ち出された。あるコメントは、こう直接問い返している。「悪意ある人物が端末にリモート侵入して、“成人済み”の証明を盗み、成人向けサイトを閲覧するのを防ぐために、システム全体をハードウェア認証にまで結び付ける価値はあるのか?」さらに、年齢確認をネイティブアプリにする必要はないのではないかという疑念もある。現代の Web アプリに Digital Credentials API を組み合わせても、同じ効果は実現できるはずだ。
疑念は杞憂ではない。あるセキュリティ研究者の実測によると、Android 端末では、純文字の設定ファイルを編集するだけで対応できる。暗号化された PIN の項目を削除し、生体認識のブーリアン値をオフにしてしまえば、2 分もかからずに App PIN を再設定し、生体認識によるログインも停止できる。それだけでなく、保存されたクレデンシャル(憑証)も完全に持ち出せるという。別の研究者もこの脆弱性を再現し、個人情報の非暗号化保存など、より多くの問題を記録した。
強制的な結び付けによる排他性にも不満が噴出している。開発者は、Google や Apple のソフトをインストールしていないユーザー、または de-Googled(例:GrapheneOS、e/OS)システムを使う層は、デジタルIDサービスから直接排除される可能性があると指摘する。イタリアのウォレット(Italian Wallet)は過去に Play Integrity 統合で不具合が出た事例があり、前例として繰り返し引用されている。
各国各様の道:オランダとイタリアは全面受け入れ、スイスは中止を宣言
各国政府の姿勢は一枚岩ではない。オランダとイタリアは現在、条件なしで Google Play Integrity を採用している。一方スイスは、データ保護、データ主権、ユーザーの選択の自由などの考慮から、Android に内蔵された認証メカニズムを採用し、直接 Play Integrity を見送った。
ベンダー側も鎮火に動いた。年齢確認アプリの供給業者 Scytales は、同社の EU における年齢確認アプリの完全性チェックは Google や Apple に依存しないと表明している。オープンソース側の陣営からも代替案が提示された。Volla Systeme GmbH が主導する「Unified Attestation」で、短期の統合用トークンとオフライン検証を売りにし、Play Integrity と併存できる。この案は一部のコメントで妥協策として見られている。
議論スレッドでは、自称セキュリティ従事者が複数、「これは“プライバシーとセキュリティの悪夢”だ」と述べている。さらに踏み込んだ声としては、あらゆるオンライン年齢確認、あるいは身分照会制度そのものに反対するという意見もある。とはいえ確かなのは、欧州デジタルIDウォレットの仕様策定プロセスは、これまで常に世界のテンプレートとして見なされてきたということだ。Google Play Integrity の統合が最終決定されれば、他の国々の参考になり、その既成事実が広がってしまう恐れがある。今回の抗議は、おそらく始まりにすぎないだろう。