ハクソク

世界を動かす技術を、日本語で。

ブリュッセルが年齢確認アプリを発表、ハッカーは2分で突破した

2026年4月20日原文(politico.eu)

概要

  • France政府職員 に対し、米国製ビデオツール使用禁止を発表
  • ZoomTeams などの Silicon Valley発サービス から自国開発の Visio へ移行推進
  • Grok による女性のディープフェイク被害を France が調査開始
  • EU 内での 米国テック依存 に関する意見の相違
  • Kick による違法コンテンツ拡散疑惑で パリ検察 が調査

France、米国製ビデオツールの政府利用を禁止

  • France政府ZoomTeams など米国発ビデオ会議ツールの使用を禁止
  • Silicon Valley 企業への依存から脱却し、 自国開発Visioプラットフォーム の利用を推進
  • セキュリティやデータ主権の強化を目的とした政策
  • 政府職員 に対し、段階的な移行指示
  • 国内テクノロジー産業の振興とデジタル自主権の確立

France、Grokによる女性ディープフェイク被害を調査

  • Grok による女性や未成年の写真を“裸化”したディープフェイク画像がSNSで拡散
  • 数百人規模の被害報告
  • France政府 が被害実態の調査を開始
  • プライバシー侵害や名誉毀損の観点から法的措置を検討
  • ディープフェイク技術の規制強化と被害者保護の重要性

EU、米国テック依存に関する意見の相違

  • FranceGermany 間で Big Tech依存脱却 について意見の不一致
  • EU 全体でのデジタル主権確立を目指す動き
  • 米国テクノロジー企業への依存リスクの認識拡大
  • 各国間の戦略調整が課題
  • EU内での政策統一の必要性

Paris検察、Kickの違法コンテンツ拡散を捜査

  • Kick というストリーミングサイト上で違法コンテンツ拡散疑惑が浮上
  • インフルエンサーの死亡事件を契機に Franceデジタル担当大臣 が告発
  • パリ検察 が刑事犯罪に該当するコンテンツの調査を開始
  • SNSや配信プラットフォームに対する監視強化
  • 違法コンテンツの拡散防止策と規制の強化

Hackerたちの意見

元の記事のタイトル、間違ってる気がする。アプリをリリースしたんじゃなくて、ローンチ前にソースコードを公開したんだよね。

これはeIDASの実装だよね: https://www.eudi-wallet.eu/ これのポイントは、スマホの認証情報を使って、ゼロ知識証明を使いながら、誰にも自分の身元を明かさずにウェブサイトに対して自分が成人であることを証明できるってこと。もし、ロック解除されたスマホにアクセスできる人がアプリ内のデータにアクセスできるなら、それは改善すべきだけど、IDをアップロードするよりはプライバシーが大幅に向上してるよね。これみたいな問題を避ける試みでもある: > Discordによると、7万人のユーザーの政府発行のIDが漏洩した可能性がある(2025年10月、435件のコメント) - https://news.ycombinator.com/item?id=45521738

混乱してるよ、EUの略語も役に立たないし。EUの多くの国では、すでに電子身分証明書があって、何らかの形でモバイルアプリに認証を委任してるんだ。QRコードを使ったeIDやモバイルアイデンティティアプリはここでは一般的なものだよ。年齢確認とは関係ない話だね。

これのポイントは、スマホの認証情報を使って、ゼロ知識証明を使いながら、誰にも自分の身元を明かさずにウェブサイトに対して自分が成人であることを証明できるってこと。私の理解では、それは不可能だと思う。間違っていることを示されるのは嬉しいけど、私には、他人に認証情報を貸し出すことを防ぐか、ユーザーの匿名性を保つか、どちらかしかできないように思える。0KPを使って、政府が発行した成人であることを示す署名付き証明書を証明することはできるけど、そうすると、その証明書を持っている誰でも、好きなだけのサブアカウントに成りすますことができるし、未成年者の代理として行動することもできる。発行政府がループに入って、一度限りのトークンを署名して、成人のジョージが1日に10,000件の18歳以上の証明を作成するのを防ぐことはできるけど、そうなると、発行政府とサービスプロバイダーは、サービスユーザーの身元を関連付けるためのタイミングサイドチャネルを持つことになる。私が見逃している他のスキームがあれば教えてほしい。

これのポイントは、スマホの認証情報を使って、ゼロ知識証明を使いながら、誰にも自分の身元を明かさずにウェブサイトに対して自分が成人であることを証明できるってこと。それが理論だよね。実際はどうなの?私の意見では、結局、すべてのIDのコピーを得るためにハッキングするための単一の政府データベースがあるってことだよね…。ところで、このアプリをチェックしている「セキュリティ専門家」はその部分を評価したの?それとも、アプリユーザーが不正をすることだけが心配なの?

これのポイントは、スマホの認証情報を使って、ゼロ知識証明を使いながら、誰にも自分の身元を明かさずにウェブサイトに対して自分が成人であることを証明できるってこと。いや、それは違うよ。文字通り、それはスコープ文書じゃないし、そんな解決策はEUの法律に準拠して許可されない。アプリはゼロ知識じゃない。ゼロ知識の一方向転送のためのプロトタイプワークフローは設計されているけど、実際にはゼロ知識を提供していない。なぜなら、認証情報を得るためには外部プロバイダーで年齢を確認する必要があるから(これはゼロ知識じゃない)、アプリはAppleまたはGoogleの認証サービスで保護されなければならない(これもゼロ知識じゃない)、そしてサイトは元の外部プロバイダーに確認して、認証情報が取り消されていないかを確認する必要がある(これもゼロ知識ではない)。

代わりに何もしないで、Metaなどの責任を免れることもできるよね。競合する利害関係がすでにEUに数十億を使って賄賂やロビー活動をしている世界では、現実的である必要がある。こんなオープンソースで透明なZKPベースのアプローチを見るのは非常に驚きだし、事前にドラフトを公開して、一般の人に壊してもらって改善する?冗談でしょ?PersonaやSocure、ID.meなどの中央集権的なIDチェックを提供する企業に対する数十億のプライベート投資はどうなるの?これは成長中の数十億ドルの産業だよ。彼らは皆、EUが少なくともEUでこの市場機会を破壊したことを想定していたんだろうね。この年齢IDアプリに反対する人々は、逆説的に数十億ドルの投資やロビー活動のための有用なバカかもしれない。デモは再び、理解できない戦争を戦うために trenches に引きずり込まれている。

それか、OSのプロフィールで年齢を設定できるようにしてくれない?大人にも子供にも使えるし。

ゼロ知識証明でこれがどうやって行われるのか、簡単に説明してもらえる?そのサイトは情報が少なくてナビゲートが大変だし、これが可能だなんて驚きだよ。政府的な意味でのID確認は、IDを他のリソースと照合する必要があるはず。ローカルでやったら、結果を簡単に偽装できるし、ゲームをハッキングするのと同じだよ。でもリモートでやったら、それはゼロ知識じゃない。ここでのゼロ知識システムはかなり望ましいと思う。でも、例えば、すべての人の成人認証を管理する中央集権的なリポジトリは、ハッキングされたり漏洩したり悪用されたりする、ディストピア的な災害が待ってると思う。

この記事で引用されているソースはこれだよ: [1] https://xcancel.com/Paul_Reviews/status/2044502938563825820 [2] https://xcancel.com/paul_reviews/status/2044723123287666921 [3] https://csa-scientist-open-letter.org/ageverif-Feb2026 | 「このサガはブリュッセルにとってPRの大失敗になりつつある。」個人的には、著者がそれを望んでいるからだと思う。アプリはまだローンチしてないし、外部レビューを招待するためにソースコードを公開したんだ。すべての主張に時間をかける余裕はないけど、例えばこれ [下の引用を見て] は大げさに感じる - アプリが一時的な画像を削除できないせいで、セルフィーがデバイスの内部ディスクに無期限に保存されるってこと - もし敵が私のスマホの内部ディスクにアクセスできるなら、フォトロールにもアクセスできるだろう。「セルフィーの画像について: 別のシナリオ。これらの画像はロスレスPNG形式で外部ストレージに書き込まれるけど、決して削除されない。キャッシュじゃなくて…長期保存される。これらはAndroidレベルでDEキーで保護されてるけど、アプリはそれを暗号化/保護する試みをしていない。これは、カメラアプリでパスポートや政府発行のIDの写真を撮って、念のために保存しておくのと同じこと。データを暗号化しても、元の画像をディスクに残しておくのはクレイジーで不必要だ。」

セルフィーをすぐに削除しないのは、かなり基本的でひどいミスだよね。Discordが何千ものセルフィーを失った後、年齢確認が終わったら削除すると約束したのに実行しなかったから、人々は特に敏感になってる。https://www.bbc.com/news/articles/c8jmzd972leo 影響は限られてるけど、セルフィーがデバイスにしか保存されないからって、EUがセルフィーを正しく処理できないってのは、能力を示してないよね。

アプリはリリースされていないが、外部レビューを招待するためにソースコードを公開した。多くの反応からそう読んだけど、彼らの公式チャンネルからは聞いてない?(もしかしたら見逃したかも)展開の準備が整ってるってことだね:https://commission.europa.eu/news-and-media/news/european-ag... メッセージは、準備ができていて「すべての条件を満たしている」(公開されたコードはそうじゃないけど)ってこと、他の国による統合の準備ができてるってことだ。https://xcancel.com/vonderleyen/status/2044340323120193595#m それから、記事では今見ているのは「デモ」バージョンだって書いてあった。つまり、GitHubのコードは現在のコードじゃないの?

Hacker Newsで議論の続きを見る