ハクソク

世界を動かす技術を、日本語で。

ブリュッセルが年齢確認アプリを発表、ハッカーは2分で突破した

1日前原文(www.politico.eu)

概要

  • France政府職員に対し、米国製ビデオツール使用禁止を発表
  • ZoomTeamsなどのSilicon Valley発サービスから自国開発のVisioへ移行推進
  • Grokによる女性のディープフェイク被害をFranceが調査開始
  • EU内での米国テック依存に関する意見の相違
  • Kickによる違法コンテンツ拡散疑惑でパリ検察が調査

France、米国製ビデオツールの政府利用を禁止

  • France政府ZoomTeamsなど米国発ビデオ会議ツールの使用を禁止
  • Silicon Valley企業への依存から脱却し、自国開発Visioプラットフォームの利用を推進
  • セキュリティやデータ主権の強化を目的とした政策
  • 政府職員に対し、段階的な移行指示
  • 国内テクノロジー産業の振興とデジタル自主権の確立

France、Grokによる女性ディープフェイク被害を調査

  • Grokによる女性や未成年の写真を“裸化”したディープフェイク画像がSNSで拡散
  • 数百人規模の被害報告
  • France政府が被害実態の調査を開始
  • プライバシー侵害や名誉毀損の観点から法的措置を検討
  • ディープフェイク技術の規制強化と被害者保護の重要性

EU、米国テック依存に関する意見の相違

  • FranceGermany間でBig Tech依存脱却について意見の不一致
  • EU全体でのデジタル主権確立を目指す動き
  • 米国テクノロジー企業への依存リスクの認識拡大
  • 各国間の戦略調整が課題
  • EU内での政策統一の必要性

Paris検察、Kickの違法コンテンツ拡散を捜査

  • Kickというストリーミングサイト上で違法コンテンツ拡散疑惑が浮上
  • インフルエンサーの死亡事件を契機にFranceデジタル担当大臣が告発
  • パリ検察が刑事犯罪に該当するコンテンツの調査を開始
  • SNSや配信プラットフォームに対する監視強化
  • 違法コンテンツの拡散防止策と規制の強化

Hackerたちの意見

元の記事のタイトル、間違ってる気がする。アプリをリリースしたんじゃなくて、ローンチ前にソースコードを公開したんだよね。
これはeIDASの実装だよね: https://www.eudi-wallet.eu/ これのポイントは、スマホの認証情報を使って、ゼロ知識証明を使いながら、誰にも自分の身元を明かさずにウェブサイトに対して自分が成人であることを証明できるってこと。もし、ロック解除されたスマホにアクセスできる人がアプリ内のデータにアクセスできるなら、それは改善すべきだけど、IDをアップロードするよりはプライバシーが大幅に向上してるよね。これみたいな問題を避ける試みでもある: > Discordによると、7万人のユーザーの政府発行のIDが漏洩した可能性がある(2025年10月、435件のコメント) - https://news.ycombinator.com/item?id=45521738
混乱してるよ、EUの略語も役に立たないし。EUの多くの国では、すでに電子身分証明書があって、何らかの形でモバイルアプリに認証を委任してるんだ。QRコードを使ったeIDやモバイルアイデンティティアプリはここでは一般的なものだよ。年齢確認とは関係ない話だね。
> これのポイントは、スマホの認証情報を使って、ゼロ知識証明を使いながら、誰にも自分の身元を明かさずにウェブサイトに対して自分が成人であることを証明できるってこと。私の理解では、それは不可能だと思う。間違っていることを示されるのは嬉しいけど、私には、他人に認証情報を貸し出すことを防ぐか、ユーザーの匿名性を保つか、どちらかしかできないように思える。0KPを使って、政府が発行した成人であることを示す署名付き証明書を証明することはできるけど、そうすると、その証明書を持っている誰でも、好きなだけのサブアカウントに成りすますことができるし、未成年者の代理として行動することもできる。発行政府がループに入って、一度限りのトークンを署名して、成人のジョージが1日に10,000件の18歳以上の証明を作成するのを防ぐことはできるけど、そうなると、発行政府とサービスプロバイダーは、サービスユーザーの身元を関連付けるためのタイミングサイドチャネルを持つことになる。私が見逃している他のスキームがあれば教えてほしい。
> これのポイントは、スマホの認証情報を使って、ゼロ知識証明を使いながら、誰にも自分の身元を明かさずにウェブサイトに対して自分が成人であることを証明できるってこと。それが理論だよね。実際はどうなの?私の意見では、結局、すべてのIDのコピーを得るためにハッキングするための単一の政府データベースがあるってことだよね…。ところで、このアプリをチェックしている「セキュリティ専門家」はその部分を評価したの?それとも、アプリユーザーが不正をすることだけが心配なの?
> これのポイントは、スマホの認証情報を使って、ゼロ知識証明を使いながら、誰にも自分の身元を明かさずにウェブサイトに対して自分が成人であることを証明できるってこと。いや、それは違うよ。文字通り、それはスコープ文書じゃないし、そんな解決策はEUの法律に準拠して許可されない。アプリはゼロ知識じゃない。ゼロ知識の一方向転送のためのプロトタイプワークフローは設計されているけど、実際にはゼロ知識を提供していない。なぜなら、認証情報を得るためには外部プロバイダーで年齢を確認する必要があるから(これはゼロ知識じゃない)、アプリはAppleまたはGoogleの認証サービスで保護されなければならない(これもゼロ知識じゃない)、そしてサイトは元の外部プロバイダーに確認して、認証情報が取り消されていないかを確認する必要がある(これもゼロ知識ではない)。
代わりに何もしないで、Metaなどの責任を免れることもできるよね。競合する利害関係がすでにEUに数十億を使って賄賂やロビー活動をしている世界では、現実的である必要がある。こんなオープンソースで透明なZKPベースのアプローチを見るのは非常に驚きだし、事前にドラフトを公開して、一般の人に壊してもらって改善する?冗談でしょ?PersonaやSocure、ID.meなどの中央集権的なIDチェックを提供する企業に対する数十億のプライベート投資はどうなるの?これは成長中の数十億ドルの産業だよ。彼らは皆、EUが少なくともEUでこの市場機会を破壊したことを想定していたんだろうね。この年齢IDアプリに反対する人々は、逆説的に数十億ドルの投資やロビー活動のための有用なバカかもしれない。デモは再び、理解できない戦争を戦うために trenches に引きずり込まれている。
それか、OSのプロフィールで年齢を設定できるようにしてくれない?大人にも子供にも使えるし。
ゼロ知識証明でこれがどうやって行われるのか、簡単に説明してもらえる?そのサイトは情報が少なくてナビゲートが大変だし、これが可能だなんて驚きだよ。政府的な意味でのID確認は、IDを他のリソースと照合する必要があるはず。ローカルでやったら、結果を簡単に偽装できるし、ゲームをハッキングするのと同じだよ。でもリモートでやったら、それはゼロ知識じゃない。ここでのゼロ知識システムはかなり望ましいと思う。でも、例えば、すべての人の成人認証を管理する中央集権的なリポジトリは、ハッキングされたり漏洩したり悪用されたりする、ディストピア的な災害が待ってると思う。
この記事で引用されているソースはこれだよ: [1] https://xcancel.com/Paul_Reviews/status/2044502938563825820 [2] https://xcancel.com/paul_reviews/status/2044723123287666921 [3] https://csa-scientist-open-letter.org/ageverif-Feb2026 | 「このサガはブリュッセルにとってPRの大失敗になりつつある。」個人的には、著者がそれを望んでいるからだと思う。アプリはまだローンチしてないし、外部レビューを招待するためにソースコードを公開したんだ。すべての主張に時間をかける余裕はないけど、例えばこれ [下の引用を見て] は大げさに感じる - アプリが一時的な画像を削除できないせいで、セルフィーがデバイスの内部ディスクに無期限に保存されるってこと - もし敵が私のスマホの内部ディスクにアクセスできるなら、フォトロールにもアクセスできるだろう。「セルフィーの画像について: 別のシナリオ。これらの画像はロスレスPNG形式で外部ストレージに書き込まれるけど、決して削除されない。キャッシュじゃなくて…長期保存される。これらはAndroidレベルでDEキーで保護されてるけど、アプリはそれを暗号化/保護する試みをしていない。これは、カメラアプリでパスポートや政府発行のIDの写真を撮って、念のために保存しておくのと同じこと。データを暗号化しても、元の画像をディスクに残しておくのはクレイジーで不必要だ。」
セルフィーをすぐに削除しないのは、かなり基本的でひどいミスだよね。Discordが何千ものセルフィーを失った後、年齢確認が終わったら削除すると約束したのに実行しなかったから、人々は特に敏感になってる。https://www.bbc.com/news/articles/c8jmzd972leo 影響は限られてるけど、セルフィーがデバイスにしか保存されないからって、EUがセルフィーを正しく処理できないってのは、能力を示してないよね。
>アプリはリリースされていないが、外部レビューを招待するためにソースコードを公開した。多くの反応からそう読んだけど、彼らの公式チャンネルからは聞いてない?(もしかしたら見逃したかも)展開の準備が整ってるってことだね:https://commission.europa.eu/news-and-media/news/european-ag... メッセージは、準備ができていて「すべての条件を満たしている」(公開されたコードはそうじゃないけど)ってこと、他の国による統合の準備ができてるってことだ。https://xcancel.com/vonderleyen/status/2044340323120193595#m それから、記事では今見ているのは「デモ」バージョンだって書いてあった。つまり、GitHubのコードは現在のコードじゃないの?
アプリを正式にリリースしたわけじゃなくて、そのアプリのソースコードを公開しただけなんだよね。だから、用語をもうちょっと正確に使おうよ!
1. 開発者が失敗したシナリオの画像を消し忘れたみたい。どこにも送信されず、ローカルに残ってる画像ね。オープンソースのアプリだから、誰でも冷静にバグを指摘できて、簡単に修正されるはず。2. 「攻撃者はshared_prefsファイルからPinEnc/PinIVの値を簡単に削除できる」… どのAndroid開発者も、shared prefsファイルにアクセスするにはROOT権限が必要だって知ってるよ。ストックOSではそれは不可能だし、電話をルート化するには高度な知識が必要なんだ。つまり、意図的に電話のセキュリティを壊すことになるから、ほとんどの場合、工場出荷時設定に戻す必要がある。もしくは、ハッカーは洗練されたエクスプロイト、場合によっては0dayを使って、成人向けサイトにログインできるアプリにアクセスする必要がある。合理的に聞こえる?(全然違うけど)だから、その人は初期デモアプリの表面的な問題を2つ見つけただけで、実際のゼロ知識証明暗号の実装に関する重要なコードには目を向けてない。自分のスキルレベルを超えてるからね。悪意のある主張と露骨な嘘を混ぜて、ネット全体に注目を集めようとしてる。ニュースやセキュリティや技術について彼よりも理解が浅い人たちによってさらに拡散されてる。2分以内に「ハッキング」と呼ぶなんて、ほんとに気持ち悪い。自分を「セキュリティコンサルタント」って名乗ってるし。彼と仕事をする人には神のご加護を。
子供をナイトクラブに入れて、飲み物を買うたびにIDを見せなきゃいけない感じだね。
そうだよね?フィルターは親がデバイスレベルで設定すべきだと思う。
「未成年をオンラインで守る」って毎回読むと「面白い」よね。周りに大人がいないみたいに。実際、その技術はオンラインアクセスのためにすべての人間をコントロールするように設計されてるのに。言葉が政治的に聞こえないように選ばれているからって、それが法律や技術を政治的でなくするわけじゃない。政治的だよ。
EUはウルズラ・フォン・デア・ライエンにこの件についてたくさんの嘘を言わせてるね。 https://netzpolitik.org/2026/gesichtsscan-und-handy-zwang-vo...
彼女は基本的に権力を得るための人間のクソ生成機だよ。
そもそもこのアプリは何のために存在してるの?なんでこのスレッドのみんなは監視が増えることにそんなに平気なの?年齢確認の道徳的・社会的影響について議論するんじゃなくて、技術的なことにこだわってるのが皮肉だよね。
「ブリュッセル」って言うのはやめてほしい。EUを指すのにそれを使うのは、まるで外部の存在が自国に何かを強制しているかのような印象を与える嫌な手口だよ。違うんだ。あれは集まりなんだから。ブリュッセルの人たちにとっても失礼だし、私もこれを望んでない。
英語圏ではよくあることだよ。ロシア政府はモスクワ、アメリカはワシントンって呼ばれるし、同じようなもので、住民を指してるわけじゃない。これは「シネクドキ」として知られてるんだ。つまり、申し訳ないけど、これからも続くよ。