ハクソク

世界を動かす技術を、日本語で。

SecurityBaseline.euはセキュリティベースラインに関する情報を提供するウェブサイトです。

2026年5月13日原文(internetcleanup.foundation)

概要

  • SecurityBaseline.eu は2026年5月13日に欧州向けに公開されたセキュリティ可視化サイト
  • 政府サイトのセキュリティ監視 とリスクマップによる可視化が特徴
  • 違法トラッキングCookie、公開DB管理画面、暗号化不備メールが深刻な課題
  • 透明性・セキュリティ・プライバシー重視の政策提案と市民保護を目的
  • 80,000以上の組織・50万アドレスを日次で監視し、情報を一般公開

SecurityBaseline.euの概要と目的

  • SecurityBaseline.eu はオランダの「Basisbeveiliging」から派生した、欧州政府向け セキュリティ基準監視サイト
  • 2026年5月13日に公開、事前に数万通の案内メールを欧州各国政府に送付
  • 主な目的は 政府機関のセキュリティ現状を可視化 し、改善を促すこと
  • 透明性・セキュリティ・主権・アクセシビリティ・プライバシー の価値向上を掲げる
  • Internet Cleanup Foundation への参加・支援を呼びかけ

監視対象・仕組みと地図による可視化

  • Web Security Map を基盤とし、10年以上の開発実績
  • EU加盟国+EEA諸国(計32カ国) を対象、行政区分ごとに87種の地図を作成
    • 各国の区分例:ドイツ(町・市区)、フランス(コミューン)、イタリア(ムニチパリティ)など
  • 21種類のメトリクス を毎晩更新、合計1,827枚のマップを自動生成
  • 対象は約20万の政府ドメイン、6.7万の地方自治体
  • 交通信号色 (赤:問題、橙:警告、緑:安全、灰:未検出)でリスクを直感的に表示
    • 相対評価ではなく絶対評価 を採用、1つでも問題があれば赤/橙

3つの深刻なセキュリティ指標

1. 違法トラッキングCookieの設置

  • 3,081の欧州政府サイト同意なしにトラッキングCookie を設置、GDPR違反
  • 政府サイトでの監視技術利用は不要かつ不適切
  • YouTube(2,077件)、Google Ads(842件)、Facebook(293件)、TikTok(20件) が主な発信元
  • 国別の設置率上位: スロバキア(9.88%)、ギリシャ(8.16%)、ポルトガル(7.63%)
  • プロジェクト系サイト (観光・イベント等)はさらに高リスク、未検出分も多い
  • Cookieバナーの3割は実効性が低く、同意なしの漏洩も多発

2. 公開されたデータベース管理画面

  • phpMyAdmin など 1,070のDB管理パネルインターネットから直接アクセス可能
  • セキュリティ事故や脆弱性悪用のリスクが高い
  • フランス(513件)、ポーランド(499件)、ハンガリー(368件)、ドイツ(300件) が上位
  • オープンソース利用にもかかわらず、政府からの資金支援がほぼ皆無
  • CSIRT (コンピュータ緊急対応チーム)でも2件の露出を確認

3. 政府メールの暗号化不備

  • 欧州政府メールの99%が現代基準に満たない暗号化
  • オランダ(58%)、デンマーク(44%) のみ高水準、他国は軒並み1%未満
  • internet.nl の最新基準(2026年4月改訂)で評価
  • 欧州レベルのTLS標準未整備、各国ガイドラインも非互換
  • CSIRT組織でも35/42が暗号化不十分

改善提案と今後の展望

  • 単発の対応ではなく、継続的な改善プロセス の導入が不可欠
  • 暗号化強化、追跡Cookie排除、管理画面の非公開化 を政策レベルで推進
  • オープンソース支援プロジェクト型サイトの監視強化 も重要
  • 市民保護・透明性向上 を目的とした情報公開と政策提言
  • Internet Cleanup Foundation への参加・協力を呼びかけ、持続的なインターネット改善活動の推進

Hackerたちの意見

今日はSecurityBaselineを発表するよ!67,000の政府機関と200,000のサイトを監視してるんだ。見出しはこうだよ:3,000の政府サイトがトラッキングクッキーを不正に使ってるし、1,000以上のデータベース管理インターフェースが公開されてる。政府のメールの99%が暗号化が甘いってさ。

これをShow HNに投稿したらどう?見出しを文字数に合わせて調整してね。

Q: google.comに「高リスク」の発見をマークする? こういうのは結構あって、よく見れば大丈夫なものも多いよね。

小さなお願いなんだけど、これについてはどうしようもないかもね。このページは英語なのに、HTMLの最初の行でlang="nl-NL"って間違って報告されてるんだ。他にも英語のページを指しているhreflang="nl"がいくつかあるよ。(自分が今は英語しかインデックスできない小さなインディー検索エンジンを持っていて、"nl-NL"が原因でページが誤分類されてるのに気づいたんだ。)変なニッチなバグ報告はさておき、このプロジェクトを見られて嬉しいよ。取り組んでくれてありがとう。すごくいいアイデアだと思う。個人的には、同意バナーが許可を求める前にクッキーを落とす政府のサイトをもっと詳しく見てみたいな。クッキーにはあまり気にしてないけど、どうせ同意バナーを無視するなら、最初から聞く必要ないじゃん。

「アメリカでは政府がプライバシーやその他の法律からしばしば自分たちを除外しているけど、EUはその区別をうまくできなかったの?」

これらの「政府」サイトのリストってどこかにある?俺はリトアニアの「政府」サイトに特化した似たようなプロジェクトに取り組んでるんだけど、公共サイトと私的サイトの見分け方がはっきりしないんだ。少なくとも半分は私的に管理されてて、公共に使われてるからね。(安いからとか、要件がないからとか、他の変な事情もあるし。)でも、リトアニアのウェブでも同じような統計が出てるのは確認済みだよ。まだデータを集め終わってないから、ちょっと時間がかかるけど。

我々が持っている情報は、https://securitybaseline.eu/datasets に公開されてるよ。一部の政府はリストを公開してるけど、完全ではないんだ。記事では、我々の最も成功したアプローチについて触れてるよ:ドメイン所有者情報を含む(部分的な)ゾーンファイルを精査すること。これで、オランダ政府が知らなかった何千ものサイトが見つかったんだ。情報公開請求も有効かもしれないけど、正しく書くのに時間がかかるし、すべての政府にスケールしないね。

悪意のあるコンテンツをホスティングしてるサイトの指標が必要だよね!https[:]//erasmus-plus.ec.europa.eu/sites/default/files/2026-05/mortal-kombat-2-cs.pdf

そのURLを引用符で囲むか、[dot]を使った方がいいかもね。そうすれば、みんなが誤って「mortal-kombat-2-cs.pdf」ってファイルをクリックしちゃうことがないから。VirusTotalはそのPDFファイルがクリーンだって言ってるけど、正直あんまり信用できないな。もし悪意のあるコンテンツを見つけたら、そのURLをVirusTotalに提出して、ブラウザ(例えばGoogle SafeBrowsing)にドメインをフラグ付けしてもらうのがいいかも。そうすれば、ec.europa.euのドメインには人が誤って訪れないようになるし。

これって、ドイツみたいな国では、明示的にお金を払ってない限り、正当なペンテストが非常に違法だからじゃない?例えば、ドイツの政府サイトをペンテストしたいけど、非標準のブラウザで訪れるだけでも、いろんなハッキング法に違反するって解釈されるかもしれないし。いいや、セキュリティの脆弱性はそのままでいいよ。

正直言って、これらの情報は普通のブラウザでも見つけられるよ。ブラウザの開発ツールすら必要ない。でも、これを自動化するために簡単なスクリプトを書いたら…うん、絶対にそれで捕まるよ。政治家が技術的な法律を通すべきじゃない理由の一つだね。

ドイツでは、こういうことに対して全く間違った考え方をしてる。感謝する代わりに、「誰のせいだ?」とCYA戦術ばかり。誰も「有罪」になりたくないし、自分の無能さがバレるのも嫌だから、上司たちはそれを避けるために何でもするよ。まずは何か深刻な問題が起こって、面子を失わないと動かないんだ。ロシアにもう何回かハッキングされる必要があるかもね。

Hacker Newsで議論の続きを見る