EUのオープンソース年齢確認アプリはたった2分でハッキング可能でプライバシーとセキュリティ上の問題が発覚、EU当局者も「まだデモ段階」と言わざるを得ない事態に
EUは圏内における未成年者の保護措置執行に先駆けて公式の年齢確認アプリを展開する予定で、EUPL-1.2ライセンスのもと、オープンソースで開発しています。しかし、この年齢確認アプリをめぐって、公開直後から複数のセキュリティ専門家が端末内の機密データ保護の不備や生体認証回避の可能性などを指摘しています。
Brussels launched an age checking app. Hackers say it takes 2 minutes to break it. – POLITICO
https://www.politico.eu/article/eu-brussels-launched-age-checking-app-hackers-say-took-them-2-minutes-break-it/
New version of EU age verification app to follow biometrics bypass, exposure claims | Biometric Update
https://www.biometricupdate.com/202604/new-version-of-eu-age-verification-app-to-follow-biometrics-bypass-exposure-claims
問題のアプリは、SNSや成人向けサイトなどで未成年者保護を強化しようとするEUの流れの中で公表されたものです。欧州委員会は2024年にこの年齢確認アプリ向けとして400万ユーロ(約7億4700万円)の入札を実施し、スウェーデンの企業が受注。GitHubで公開されている実装は「Age Verification Solution Toolbox」の一部として、加盟国が自国向けソリューションを作る際の土台となる参照実装と位置付けられています。
この年齢確認アプリは、利用者がパスポートや国民ID、あるいは銀行のような信頼できる事業者を通じて年齢確認を行い、オンラインサービス側には「一定年齢以上かどうか」だけを示し、それ以上の個人情報は渡さない、いわゆるゼロ知識証明型の方式を採っています。
欧州委員会のフォン・デア・ライエン委員長は発表時に「完全なオープンソースで、誰でもコードを確認できる」と述べ、各国が子どものSNS利用規制を進める中で近く利用可能になると説明していました。
ところが、公開から数時間のうちにセキュリティコンサルタントのポール・ムーア氏が、アプリが利用者の端末に機微データを保存したうえで十分に保護していないと指摘し、2分足らずで破れると主張しました。
Hacking the #EU #AgeVerification app in under 2 minutes.
— Paul Moore - Security Consultant (@Paul_Reviews) April 16, 2026
During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.
1. It shouldn't be encrypted at all - that's a really poor design.
2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ
さらにフランスのホワイトハットハッカーであるバプティステ・ロバート氏は、アプリの生体認証機能を回避できる可能性があると説明。暗号研究者のオリヴィア・ブレイジー氏も「18歳以上であることを証明した本人の端末を別人が使っても、そのまま18歳以上だと示せてしまう」との趣旨で問題を指摘しています。
欧州委員会はこれに対し、ハッカーらが検証していたのはテストと開発用に公開された以前の「デモ版」であり、脆弱性は修正済みだと説明。しかし、ムーア氏とブレイジー氏は「検証対象はEUがオンラインで公開していた最新版コードだった」と反論しており、食い違いが生じています。
確かに、GitHub上の公開リポジトリには「デモ版は更新中であり、コミュニティテスト向けの更新を継続する」と明記されています。また、「このアプリは公開前に各国向けにカスタマイズされるべきホワイトラベルの参照実装で、現行版は機能が未完成であり、本番配備の前には追加の統合作業が必要で、各国固有の登録手続きも加盟国や公開主体が実装しなければならない」とも説明されていました。さらに、PINについても推測しやすい並びを許可しないよう強化が推奨されており、リポジトリの記述自体がなお開発途上のソフトウェアであることを示していると指摘されています。
しかし、欧州委員会の報道官は「リリースの準備はできている」という立場を崩さない一方で、デジタル分野の報道官は「最終版といっても、まだデモ版だ」と述べ、市民向けの最終製品はまだ利用可能ではないことを認めており、欧州委員会内でも足並みがそろっていないことがうかがえます。
こうした経緯を受け、専門家や政治家からは拙速な公開ではないかとの批判が相次いでいます。ブレイジー氏は専門家が検証できるようにオープンソース化した点は評価しつつも、「公開されたコードはこの重要性に見合うサイバーセキュリティ基準を満たしていない」と述べ、急ぎすぎた投入は将来のデジタルIDウォレット全体への信頼を損なうおそれがあると警告しました。
海外メディアのPoliticoによると、2026年3月には400人超のプライバシー・セキュリティ専門家が年齢保証技術の利点と害、技術的実現性について科学的合意が得られるまで展開停止を求める公開書簡を送っており、欧州議会内からも「政治的圧力で急がされている」「EU自身の基準を満たさない半煮えの解決策だ」といった批判が出ているそうです。
・関連記事
EUが公式オンライン年齢確認アプリをまもなく展開 - GIGAZINE
OSに年齢確認を義務付け第三者との情報共有を強制する法案が登場 - GIGAZINE
児童保護をインターネットアクセス制御に変えてはならない - GIGAZINE
「子どもの安全を守るため」のオンライン年齢確認ツールが普及しているが実際には「成人」も監視対象となっている - GIGAZINE
イギリスが「16歳未満SNS禁止法」を真剣に検討中、全校で携帯電話使用禁止へ - GIGAZINE
・関連コンテンツ
in ソフトウェア, セキュリティ, Posted by log1i_yk
You can read the machine translated English article The EU's open-source age verificatio….