Howdy! How can we help you?
-
気候変動1
-
ブラウザ72
-
戦争36
-
ヘイトスピーチ10
-
偽情報、誤情報7
-
ジェンダー3
-
国家安全保障10
-
fediverse20
-
alternative_app18
-
デジタルセキュリティツール15
-
国内の監視社会化と反監視運動6
-
VPN10
-
GIFCT2
-
政府・国際機関の動向166
-
スパイウェア20
-
OS関係20
-
教育・学校9
-
監視カメラ16
-
労働現場の監視9
-
プライバシー159
-
デジタルID(マイナンバーなど)12
-
GPS1
-
AI78
-
オリンピックと監視社会7
-
文化12
-
労働運動17
-
リンク集12
-
金融監視3
-
COVID-19と監視社会18
-
検閲105
-
海外動向412
-
オンライン会議システム14
-
暗号化69
-
アクティビストとセキュリティ32
-
ビッグテック、大量監視262
-
SNSのセキュリティ20
-
共謀罪1
-
メールのセキュリティ43
-
Articles1
(EFF)eIDAS 2.0は、ウェブセキュリティの危険な前例となる
。
Alexis Hancock 著
12月9日、2022年
欧州連合理事会は今週、インターネットシステムを管理する規制のために、ブラウザのセキュリティをより危険にさらす可能性のある新しい文言を採択した。
新しい文言は、EUの電子識別・認証・信託サービス(eIDAS)規則に関わるもので、EU内の国を超えて安全なオンライン取引を可能にするとされている。この中には、運転免許証や銀行カードなどの個人情報を保存し、スマートフォンで電子決済を行うための政府アプリ「欧州デジタルIDウォレット」について、EU市民のプライバシーに懸念を抱かせるさまざまな更新情報が含まれていた。
しかし、このアップデートの中には、ウェブセキュリティに影響を与えるものもあり、他の政府がEUに倣って同様の欠陥のあるフレームワークを採択してしまう可能性があるため、EU域外に拡大する可能性がある。
一言で言えば、EUは、ブラウザがEU加盟国発行の認証局(CA)を受け入れ、たとえ安全でなくても削除しないことを義務づけている。これは悪いことだと思われるかもしれないが、その通りだ。EFFは、他のセキュリティ専門家や研究者と共に、セキュリティインシデントに対してブラウザが行動する方法を提供しない改正文言を再考するよう、EU政府の規制当局に複数回要請した。いくつかの委員会が文言の修正を支持したが、EU理事会は、この非常に欠陥のある文言を採択した。
詳細を説明する前に、ユーザーのためにウェブを保護するための背景を説明しよう。インターネット上でユーザーを保護するのは難しい。私たちが試したものの見送った救済策のひとつが、EV(Extended Validation)証明書と呼ばれるものだった。この証明書では、サイト側に強力なバックグラウンドチェックを要求することで、ユーザーが正規のサイトを識別しやすくなることを期待したものである。端的に言えば、それはうまくいかなかった。
効果的だったのは、サービスを提供しようとするウェブサイトと通信していることがわかるように、ドメイン検証(DV)証明書(多くの場合、無料で発行される)を備えたHTTPSを広く採択することに注力することである。ブラウザは、自社のセキュリティ基準を満たすCAを選び、それを「ルートストア」に保存し、劣悪なCAや安全でないCAを拒否するように組織されている。CAの仕事については、こちらで詳しく解説している。
そのため、EUが修正したeIDAS言語が、時代遅れのEVフレームワークを採用し、大きく後退したことは驚くべきことである。規則の第45.2条は、EV証明書に基づく枠組みを強制するだけでなく、EU加盟国のCAの別の名前であるQualified Trust Service Providers(QTSP)が指定する「QWACs」(適格ウェブ認証証明書)へのサポートを法律で義務づけることを成文化している。QWACは、DV証明書のように無料でもなく、簡単に自動化できるものでもない。
その上、QTSPはブラウザが承認するのではなく、EUの規制によって承認され、ブラウザはルートストアのセキュリティ要件を満たしていなくても、QTSPを信頼し、削除しないことが要求される。
今日、ブラウザはセキュリティの問題が発生すると、反復的に行動することができる。上述したように、セキュリティ問題は動きが速く、早急な注意と対策が必要である。行動を妨げる法律は、将来のインシデント対応を遅くする可能性がある。EUは、民主主義の線から外れた行動をするメンバーとは無縁ではない。だから、インターネットをセキュリティ上の脅威に対してより脆弱にするような法律を作ることは、無視できない問題である。
第45.2条は、GoogleやAppleのような大企業から権力を奪い、規制によってウェブ上の個人に取り戻し、誰がどのサイトを所有しているかという透明性を強制しようとするものである。しかし、この時代遅れのモデルでは、人々がインターネット上の詐欺やマルウェアを回避することはできない。
現在のeIDASの採択がEUで最後の立法段階を進む中、我々は第45.2条がウェブセキュリティの実現と実施を困難にし、インターネットを誰にとっても安全でない場所にしているとして、そのことを訴えている。
出典:https://www.eff.org/deeplinks/2022/12/eidas-20-sets-dangerous-precedent-web-security