ハクソク

世界を動かす技術を、日本語で。

SecurityBaseline.euはセキュリティベースラインに関する情報を提供するウェブサイトです。

9時間前原文(internetcleanup.foundation)

概要

  • SecurityBaseline.eu は2026年5月13日に欧州向けに公開されたセキュリティ可視化サイト
  • 政府サイトのセキュリティ監視 とリスクマップによる可視化が特徴
  • 違法トラッキングCookie、公開DB管理画面、暗号化不備メールが深刻な課題
  • 透明性・セキュリティ・プライバシー重視の政策提案と市民保護を目的
  • 80,000以上の組織・50万アドレスを日次で監視し、情報を一般公開

SecurityBaseline.euの概要と目的

  • SecurityBaseline.eu はオランダの「Basisbeveiliging」から派生した、欧州政府向け セキュリティ基準監視サイト
  • 2026年5月13日に公開、事前に数万通の案内メールを欧州各国政府に送付
  • 主な目的は 政府機関のセキュリティ現状を可視化 し、改善を促すこと
  • 透明性・セキュリティ・主権・アクセシビリティ・プライバシー の価値向上を掲げる
  • Internet Cleanup Foundation への参加・支援を呼びかけ

監視対象・仕組みと地図による可視化

  • Web Security Map を基盤とし、10年以上の開発実績
  • EU加盟国+EEA諸国(計32カ国) を対象、行政区分ごとに87種の地図を作成
    • 各国の区分例:ドイツ(町・市区)、フランス(コミューン)、イタリア(ムニチパリティ)など
  • 21種類のメトリクス を毎晩更新、合計1,827枚のマップを自動生成
  • 対象は約20万の政府ドメイン、6.7万の地方自治体
  • 交通信号色 (赤:問題、橙:警告、緑:安全、灰:未検出)でリスクを直感的に表示
    • 相対評価ではなく絶対評価 を採用、1つでも問題があれば赤/橙

3つの深刻なセキュリティ指標

1. 違法トラッキングCookieの設置

  • 3,081の欧州政府サイト同意なしにトラッキングCookie を設置、GDPR違反
  • 政府サイトでの監視技術利用は不要かつ不適切
  • YouTube(2,077件)、Google Ads(842件)、Facebook(293件)、TikTok(20件) が主な発信元
  • 国別の設置率上位: スロバキア(9.88%)、ギリシャ(8.16%)、ポルトガル(7.63%)
  • プロジェクト系サイト (観光・イベント等)はさらに高リスク、未検出分も多い
  • Cookieバナーの3割は実効性が低く、同意なしの漏洩も多発

2. 公開されたデータベース管理画面

  • phpMyAdmin など 1,070のDB管理パネルインターネットから直接アクセス可能
  • セキュリティ事故や脆弱性悪用のリスクが高い
  • フランス(513件)、ポーランド(499件)、ハンガリー(368件)、ドイツ(300件) が上位
  • オープンソース利用にもかかわらず、政府からの資金支援がほぼ皆無
  • CSIRT (コンピュータ緊急対応チーム)でも2件の露出を確認

3. 政府メールの暗号化不備

  • 欧州政府メールの99%が現代基準に満たない暗号化
  • オランダ(58%)、デンマーク(44%) のみ高水準、他国は軒並み1%未満
  • internet.nl の最新基準(2026年4月改訂)で評価
  • 欧州レベルのTLS標準未整備、各国ガイドラインも非互換
  • CSIRT組織でも35/42が暗号化不十分

改善提案と今後の展望

  • 単発の対応ではなく、継続的な改善プロセス の導入が不可欠
  • 暗号化強化、追跡Cookie排除、管理画面の非公開化 を政策レベルで推進
  • オープンソース支援プロジェクト型サイトの監視強化 も重要
  • 市民保護・透明性向上 を目的とした情報公開と政策提言
  • Internet Cleanup Foundation への参加・協力を呼びかけ、持続的なインターネット改善活動の推進

Hackerたちの意見

今日はSecurityBaselineを発表するよ!67,000の政府機関と200,000のサイトを監視してるんだ。見出しはこうだよ:3,000の政府サイトがトラッキングクッキーを不正に使ってるし、1,000以上のデータベース管理インターフェースが公開されてる。政府のメールの99%が暗号化が甘いってさ。

これをShow HNに投稿したらどう?見出しを文字数に合わせて調整してね。

Q: google.comに「高リスク」の発見をマークする? こういうのは結構あって、よく見れば大丈夫なものも多いよね。

小さなお願いなんだけど、これについてはどうしようもないかもね。このページは英語なのに、HTMLの最初の行でlang="nl-NL"って間違って報告されてるんだ。他にも英語のページを指しているhreflang="nl"がいくつかあるよ。(自分が今は英語しかインデックスできない小さなインディー検索エンジンを持っていて、"nl-NL"が原因でページが誤分類されてるのに気づいたんだ。)変なニッチなバグ報告はさておき、このプロジェクトを見られて嬉しいよ。取り組んでくれてありがとう。すごくいいアイデアだと思う。個人的には、同意バナーが許可を求める前にクッキーを落とす政府のサイトをもっと詳しく見てみたいな。クッキーにはあまり気にしてないけど、どうせ同意バナーを無視するなら、最初から聞く必要ないじゃん。

「アメリカでは政府がプライバシーやその他の法律からしばしば自分たちを除外しているけど、EUはその区別をうまくできなかったの?」

これらの「政府」サイトのリストってどこかにある?俺はリトアニアの「政府」サイトに特化した似たようなプロジェクトに取り組んでるんだけど、公共サイトと私的サイトの見分け方がはっきりしないんだ。少なくとも半分は私的に管理されてて、公共に使われてるからね。(安いからとか、要件がないからとか、他の変な事情もあるし。)でも、リトアニアのウェブでも同じような統計が出てるのは確認済みだよ。まだデータを集め終わってないから、ちょっと時間がかかるけど。

我々が持っている情報は、https://securitybaseline.eu/datasets に公開されてるよ。一部の政府はリストを公開してるけど、完全ではないんだ。記事では、我々の最も成功したアプローチについて触れてるよ:ドメイン所有者情報を含む(部分的な)ゾーンファイルを精査すること。これで、オランダ政府が知らなかった何千ものサイトが見つかったんだ。情報公開請求も有効かもしれないけど、正しく書くのに時間がかかるし、すべての政府にスケールしないね。

悪意のあるコンテンツをホスティングしてるサイトの指標が必要だよね!https[:]//erasmus-plus.ec.europa.eu/sites/default/files/2026-05/mortal-kombat-2-cs.pdf

そのURLを引用符で囲むか、[dot]を使った方がいいかもね。そうすれば、みんなが誤って「mortal-kombat-2-cs.pdf」ってファイルをクリックしちゃうことがないから。VirusTotalはそのPDFファイルがクリーンだって言ってるけど、正直あんまり信用できないな。もし悪意のあるコンテンツを見つけたら、そのURLをVirusTotalに提出して、ブラウザ(例えばGoogle SafeBrowsing)にドメインをフラグ付けしてもらうのがいいかも。そうすれば、ec.europa.euのドメインには人が誤って訪れないようになるし。

これって、ドイツみたいな国では、明示的にお金を払ってない限り、正当なペンテストが非常に違法だからじゃない?例えば、ドイツの政府サイトをペンテストしたいけど、非標準のブラウザで訪れるだけでも、いろんなハッキング法に違反するって解釈されるかもしれないし。いいや、セキュリティの脆弱性はそのままでいいよ。

正直言って、これらの情報は普通のブラウザでも見つけられるよ。ブラウザの開発ツールすら必要ない。でも、これを自動化するために簡単なスクリプトを書いたら…うん、絶対にそれで捕まるよ。政治家が技術的な法律を通すべきじゃない理由の一つだね。

ドイツでは、こういうことに対して全く間違った考え方をしてる。感謝する代わりに、「誰のせいだ?」とCYA戦術ばかり。誰も「有罪」になりたくないし、自分の無能さがバレるのも嫌だから、上司たちはそれを避けるために何でもするよ。まずは何か深刻な問題が起こって、面子を失わないと動かないんだ。ロシアにもう何回かハッキングされる必要があるかもね。

うん、セキュリティリサーチには何らかの規制が必要だと思うけど、特権アクセスを得た後の責任ある扱いや、見つけた脆弱性をプライベートまたは政府機関に開示する責任についての方が重要だと思う。「システムにアクセスして、ボタンを見つけて押したら、損害に対して責任がある」っていうのが、すでに有料のペンテスターの間では一般的なやり方だよね。でも、今は裁判所が、無許可でAPIのエンドポイントを発見することが「セキュリティ境界の回避」なのかどうかを決めなきゃいけないところまで来てる。幸いにも、無許可のロジックでAPIエンドポイントにアクセスすることはセキュリティ境界の回避ではないという判決が出たから、セキュリティ境界がないからね。今はそんなレベルなんだ。もし外国の国家がこれを真剣に行動に移したら、どうなるかは想像したくないな。

ドイツ人として、外部のペンテスト報告書に対して我々の政府機関が反応する唯一の方法は、データを公開すると脅迫することだと思う(これは推奨ではないので、私の家を襲わないでね)。見知らぬ人が来て「危険なバグを直せ」って言っても、彼らがそれを直すとは思えないんだ。

ドイツ以外の人がドイツのサイトをペンテストするのを確実にするいい方法だね :D

まさにその通り……この法律は、良い意図があると言いたいけど、逆のことをしてるよね…自分はドイツに住んでるけど、君が言った法律のせいで、公開することが法的に禁止されているリコン/脆弱性/スキャンツールを開発したんだ。

意外かもしれないけど、イギリスではもうこれをやってるよ。セキュリティサービスの公的な側面は、これに関してはしっかりしてる。

ドイツ連邦情報セキュリティ局(BSI)から、ヘッツナー経由でメールが来て、DBポートが開いてるかどうか教えてくれるんだ。

いい仕事だね。これらのグラフが、各国の「e-Gov」や「政治におけるテクノロジーリテラシー」の交差点を間接的に示してるのが面白い。1. e-ガバメントが強くて、その要件をよく理解している国は低評価(いいね!) 2. e-ガバメントの実践が進化中で、影響をあまり理解していない国は高評価(悪いね!) 3. e-ガバメントの実践が遅れている国は低評価(…いいのかな?) グローバルに見ても、政治の最前線にはもっとテクノロジーに詳しい人が必要だってことがわかるね。そうすれば、適切な優先順位も実行に移されるし。

ポーランドのワルシャワをチェックしたよ。3つの高リスク問題があって、 - DNSSECが設定されてない - クッキーが少し送信されてる(警告!)Googleのマーケティングクッキー - ROAが欠けてる でも、これは純粋に情報提供のウェブサイトで(Safariでは動かないけど :D)、実際のやり取りは専門のポータル(例えばgov.pl)を通じて行われるんだ。理解できるけど、集約サイトなのに赤い地図を見せるのはちょっとセンセーショナルだね。結果はinternet.nlから取られてるみたいで、そっちの方がページよりもずっとUIが良いよ。 https://batch.internet.nl/site/um.warszawa.pl/17768032/#

DNSSECが有効でないドメインを赤く塗るのはちょっと過剰だと思う。メールをホスティングしているところを追加するのもいいかも。最初に見たものは全部outlook.comで、DNSSECを使わないよりもプライバシーとセキュリティのリスクが大きい気がする。

赤くしないと、DNSSECの「SEC」部分が軽視されちゃうよね。プライバシーに関する指標もクッキー追跡の他にいくつかあるし、これからもっと増えると思う。どれも同時に重要なんだよね。

いい追加機能として、誰がメールをホスティングしているかを表示するのはどう?こんなのとか?https://livenson.github.io/mxmap/ いくつかの国ではそういうのがあるよ。スイスのやつのGitHubリポジトリもあるよ(フォークのリストも入ってる):https://github.com/davidhuser/mxmap

ハンガリーの場合、ほとんどのサイトは政府とは全く関係のないランダムなウェブサイトだよ。「地域」サイトは全部ランダムで、「地区」サイトは一つの廃止された/アーカイブされたサイトに指し示してるみたい。他のリストはちょっとしか確認してないけど、政府サイトとローカルニュースサイトが混ざってる感じ。監視してるサイトが本当に政府のサイトかどうか、最低限のチェックもしてないのに、政府のセキュリティを公に指摘するなんて、どうしてそんなことができるのか理解できないよ。

どの国でも州の機関は含まれてるの?これは自分の行政区分を持つ政府機関だけを含んでるみたいだね?