国民の暗号化された通信内容を政府が傍受可能にする条文がEUの新たな標準規則「eIDAS 2.0」に盛り込まれようとしている

EU全域への電子署名法拡大を目的として導入されたElectronic Identification and Trust Services Regulation(eIDAS規則)の改正案である「eIDAS 2.0」のほぼ最終版が、2023年10月に交渉担当者間で合意されました。2023年中には議会に提出されるこの最終版に含まれる条文が、「EU加盟国の政府による中間者攻撃を可能にし、暗号化されたトラフィックが傍受される危険性がある」として、電子フロンティア財団やMozillaなどが公式に非難しています。

Article 45 Will Roll Back Web Security by 12 Years | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2023/11/article-45-will-roll-back-web-security-12-years

Last Chance to fix eIDAS
https://last-chance-for-eidas.org/

Europe prepares to break browser security with eIDAS 2.0 • The Register
https://www.theregister.com/2023/11/08/europe_eidas_browser/

eIDASはEU圏内の電子署名やそれにまつわる法的枠組み、タイムスタンプ、ウェブサイトの証明書、新たに定義された認証サービス(トラストサービス)の範囲などを定めています。

その改正案であるeIDAS 2.0の第45条では、「ブラウザが政府によって任命された公開鍵証明書認証局(認証局)を信頼し、ヨーロッパの電気通信の全般にかかわる標準化組織の欧州電気通信標準化機構(ETSI)が承認した範囲を超え、それらの認証局に対してセキュリティ要件を強制することを禁じる」ことが定められています。これは、ブラウザが認証局に要求するセキュリティ基準の上限を引き下げ、ブラウザがユーザーのセキュリティを向上させる能力と競争を制限することを意味するものです。

認証局の役割は、ルート証明書を発行してウェブサイトとユーザーの暗号化された通信を保護することですが、他の誰かが同じルート証明書を取得した場合、暗号化された通信の傍受が可能になってしまいます。そのため、政府は自身が管理する認証局にルート証明書のコピーを要求し、中間者攻撃を実行できます。

実際、過去には一党独裁体制で知られるカザフスタンで政府認証のルート証明書のインストールが国民に義務づけられ、暗号化されているHTTPS通信が政府に傍受される可能性が指摘されたことがあります。これに対してMozillaやGoogleは、カザフスタン政府によるルート証明書をブロックすることで対策しました。

GoogleとMozillaが独裁国家の認証するルート証明書をブロックすると発表 - GIGAZINE

しかし、政府が任命した認証局に対するセキュリティ基準が引き下げられれば、たとえ暗号化されたトラフィックが傍受されている疑いがあったとしても、ブラウザ側が認証局を排除して対策を講じることができなくなってしまうとのこと。

ブラウザのFirefoxを開発するMozillaは声明で、「これによってEU加盟国の政府は、傍受と監視のためにウェブサイトの証明書を発行することができます。これは、発行した加盟国に居住していない、あるいは加盟国に関係ないEU市民であっても、すべてのEU市民に対して使用することが可能です。加盟国が許可する証明書やその使用に関して下す決定について、独立したチェックやバランスは存在しません」と述べています。

GoogleのChromeセキュリティチームも、「eIDASの第45条は、ブラウザが証明書に特定のセキュリティ要件を適用する能力を妨げており、数十年にわたってウェブセキュリティの進歩を阻害する可能性があります。私たちと、国際的なウェブコミュニティの過去および現在の多くのリーダーは、第45条がセキュリティに与える影響について重大な懸念を抱いています」とブログに記し、法律の改訂を求めました。