EUのデジタルIDウォレット、年齢認証のためにGoogleとAppleを連携させる案に対し、GitHubに反対意見が殺到

欧盟デジタルアイデンティティウォレット(EU Digital Identity Wallet)の年齢認証仕様は、アプリと端末の真正性検証を一式としてGoogle Play Integrity APIとApple App Attestationに結び付ける計画だ。情報が伝わった後、公式GitHubのディスカッションスレッドは瞬く間に荒れ、開発者コミュニティはほぼ一丸となって反対した。

開発者が反対する理由:オランダYiviは検証済みの代替案が存在し、強制的な結び付けは2つの大原則に違反する

GitHubのディスカッションスレッドの書き込みによると、反対者の3つの中核的な論点は以下の通り:

オランダYiviは非Googleの方案をすでに提供している:オランダの身分証明アプリYivi(前身はIRMA)は、Googleサービスに依存せずに年齢認証を完了でき、すでにF-Droidのオープンソースストアに掲載されている。これにより、Play Integrityの統合が技術的に必要な条件ではないことを直接証明している。

仕様が自ら矛盾している:欧盟デジタルアイデンティティウォレットの仕様は3つの原則を定めているが、GoogleとAppleの私有認証サービスを同時に強制的に結び付けることは、「相互運用性」と「オープン標準」の2つの原則に同時に違反する。

デジタル主権の問題:政府サービスは第三者の外部サービスに依存すべきではない。GoogleまたはAppleが方針を変更したり、サービスを停止したり、システム上の重大な脆弱性が発生したりすれば、各国の身分証明の検証メカニズムは停止を余儀なくされる。

資安研究員2分でApp PINを解読

報道によると、あるセキュリティ研究員が実地検証したところ、Android端末では純文字の設定ファイルを編集して暗号化されたPINの項目を削除し、生体認証のブーリアン値をオフにするだけで、2分もかからずにApp PINをリセットし、生体認証によるログインも無効化できるという。さらに、保存されていた認証情報は完全に持ち出せることが確認された。別の研究員がこの脆弱性を再現し、さらに個人情報が暗号化されずに保存されるなど、より多くの問題点も記録している。

これらのセキュリティ問題は、一部の書き込みで次のように疑問視されている:遠隔侵入を防ぐために、システム一式をハードウェア認証にまで強く結び付ける価値があるのか。さらに一部の開発者は、年齢認証をなぜネイティブアプリにする必要があるのかとも疑問を呈しており、現代のWebアプリにDigital Credentials APIを組み合わせれば同様の効果が得られるはずだという見方もある。

オランダ・イタリアはGoogle Play Integrityを採用

報道によれば、各国政府のこの仕組みへの姿勢は一貫していない。オランダとイタリアは現時点で無条件にGoogle Play Integrityを採用している。スイスは、データ保護、データ主権、ユーザーの選択の自由などの考慮から、Androidに内蔵された認証メカニズムを採用し、直接Play Integrityを放棄した。

代替案については、年齢認証アプリの提供事業者Scytalesが、同社の欧州向け年齢認証アプリの完全性検査はGoogleあるいはAppleに依存しないと表明している。Volla Systeme GmbHが立ち上げた「Unified Attestation」は、短期の統合用トークンとオフライン検証機能を提供し、かつPlay Integrityと併存可能であり、一部の書き込みでは折衷案として見なされている。

よくある質問

開発者はなぜ欧盟デジタルアイデンティティウォレットのGoogle Play Integrityへの紐付けに反対するのか?

GitHubのディスカッションスレッドによると、主な理由は以下の通り:オランダYiviアプリはGoogleサービスに依存せずに年齢認証を完了でき、代替案が存在することを示している;強制的な紐付けは、欧盟の仕様で定められた「相互運用性」と「オープン標準」の原則に違反する;政府サービスが民間企業のプラットフォームのポリシーに依存すると、デジタル主権のリスクが生じ得る。

Waag FuturelabのDMA警告は具体的に何を指しているのか?

報道によれば、オランダの非営利組織Waag Futurelabは記事の中で、Google Play Integrity APIの設計によって政府が民間企業のプラットフォーム方針の実行者になり得ると警告しており、さらにその設計は、大企業による独占を防ぐことを目的とした欧盟の《デジタル市場法》(DMA)に抵触する可能性があるという。

各国ではGoogle Play Integrityの統合に対してどのような立場の違いがあるのか?

報道によれば、オランダとイタリアは無条件にGoogle Play Integrityを採用している。スイスは、データ保護、データ主権、ユーザーの選択の自由を理由に、Androidに内蔵された認証メカニズムへ切り替え、Play Integrityを放棄した。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし