(EFF)eIDAS 2.0は、ウェブセキュリティの危険な前例となる

Categories
< Back
You are here:
Print

(EFF)eIDAS 2.0は、ウェブセキュリティの危険な前例となる


Alexis Hancock 著
12月9日、2022年

欧州連合理事会は今週、インターネットシステムを管理する規制のために、ブラウザのセキュリティをより危険にさらす可能性のある新しい文言を採択した。

新しい文言は、EUの電子識別・認証・信託サービス(eIDAS)規則に関わるもので、EU内の国を超えて安全なオンライン取引を可能にするとされている。この中には、運転免許証や銀行カードなどの個人情報を保存し、スマートフォンで電子決済を行うための政府アプリ「欧州デジタルIDウォレット」について、EU市民のプライバシーに懸念を抱かせるさまざまな更新情報が含まれていた。

しかし、このアップデートの中には、ウェブセキュリティに影響を与えるものもあり、他の政府がEUに倣って同様の欠陥のあるフレームワークを採択してしまう可能性があるため、EU域外に拡大する可能性がある。

一言で言えば、EUは、ブラウザがEU加盟国発行の認証局(CA)を受け入れ、たとえ安全でなくても削除しないことを義務づけている。これは悪いことだと思われるかもしれないが、その通りだ。EFFは、他のセキュリティ専門家研究者と共に、セキュリティインシデントに対してブラウザが行動する方法を提供しない改正文言を再考するよう、EU政府の規制当局に複数回要請した。いくつか委員会が文言の修正を支持したが、EU理事会は、この非常に欠陥のある文言を採択した。

詳細を説明する前に、ユーザーのためにウェブを保護するための背景を説明しよう。インターネット上でユーザーを保護するのは難しい。私たちが試したものの見送った救済策のひとつが、EV(Extended Validation)証明書と呼ばれるものだった。この証明書では、サイト側に強力なバックグラウンドチェックを要求することで、ユーザーが正規のサイトを識別しやすくなることを期待したものである。端的に言えば、それはうまくいかなかった

効果的だったのは、サービスを提供しようとするウェブサイトと通信していることがわかるように、ドメイン検証(DV)証明書(多くの場合、無料で発行される)を備えたHTTPSを広く採択することに注力することである。ブラウザは、自社のセキュリティ基準を満たすCAを選び、それを「ルートストア」に保存し、劣悪なCAや安全でないCAを拒否するように組織されている。CAの仕事については、こちらで詳しく解説している。

そのため、EUが修正したeIDAS言語が、時代遅れのEVフレームワークを採用し、大きく後退したことは驚くべきことである。規則の第45.2条は、EV証明書に基づく枠組みを強制するだけでなく、EU加盟国のCAの別の名前であるQualified Trust Service Providers(QTSP)が指定する「QWACs」(適格ウェブ認証証明書)へのサポートを法律で義務づけることを成文化している。QWACは、DV証明書のように無料でもなく、簡単に自動化できるものでもない。

その上、QTSPはブラウザが承認するのではなく、EUの規制によって承認され、ブラウザはルートストアのセキュリティ要件を満たしていなくても、QTSPを信頼し、削除しないことが要求される。

今日、ブラウザはセキュリティ問題が発生すると、反復的に行動することができる。上述したように、セキュリティ問題は動きが速く、早急な注意と対策が必要である。行動を妨げる法律は、将来のインシデント対応を遅くする可能性がある。EUは、民主主義の線から外れた行動をするメンバーとは無縁ではない。だから、インターネットをセキュリティ上の脅威に対してより脆弱にするような法律を作ることは、無視できない問題である。

第45.2条は、GoogleやAppleのような大企業から権力を奪い、規制によってウェブ上の個人に取り戻し、誰がどのサイトを所有しているかという透明性を強制しようとするものである。しかし、この時代遅れのモデルでは、人々がインターネット上の詐欺マルウェアを回避することはできない。

現在のeIDASの採択がEUで最後の立法段階を進む中、我々は第45.2条がウェブセキュリティの実現と実施を困難にし、インターネットを誰にとっても安全でない場所にしているとして、そのことを訴えている。

出典:https://www.eff.org/deeplinks/2022/12/eidas-20-sets-dangerous-precedent-web-security

Tags:
Table of Contents