2022年3月3日
EUデジタル・アイデンティティ枠組の新しいウェブサイト認証条項により危険にさらされるグローバルなウェブサイト・セキュリティ・エコシステム
欧州議会の名誉ある議員の皆様へ
TELEワーキングパーティーのメンバー各位。

私たち以下に署名した者たちは、サイバーセキュリティの研究者、提唱者、実務者です。私たちは、欧州デジタル ID 枠組み（「eIDAS 改訂」）の立法提案の一部の条項と、それが Web 上のセキュリティに与える影響について重大な懸念を表明するために、個人の立場で貴殿にお返事申し上げま す。

これらの規定の意図はウェブでの認証を改善することであると理解していますが、実際にはウェブのセキュリ ティを劇的に弱めるという逆の効果をもたらすでしょう。ヨーロッパの人々の 3 分の 2 がオンライン個人情報盗難の被害に遭うことを懸念し、3 分の 1 以上がサイ バー犯罪から十分に身を守れないと考えられている現在、ウェブサイトのセキュリティエコシステムを弱めることは、 許されないリスクです[1]。したがって、私たちは、ブラウザがウェブ上のサイバー犯罪から個人を守るための重要なセキュリティ作業を確実に可能にするために、改訂された 45.2 条の修正を強く求めます。

ウェブサイト認証 – オンライン・セキュリティの基礎

Web サイト認証は、オンライン・セキュリティの基礎であり、電子商取引を推進し、EU および世 界中の何十億もの安全なやり取りを可能にしています。認証は、データや情報が正しい受信者に送られ、ドメイン名になりすましたサイバー犯罪者に送られないようにするものです。実際のところ、このメカニズムにより、個人情報の盗難、金融犯罪、マルウェア、監視などから個人を守ることができます。デジタル社会の重要な構成要素であり、電子商取引や電子政府の基礎となるものです。現実的には、この認証機能は、Webサイトのアイデンティティを証明するWebサイト証明書によって提供されています。

Webサイト証明書は、認証局から発行されます。認証局が、セキュリティや運用の基準が低い、あるいは悪意があるなど、発行してはならないエンティティに証明書を発行した場合、ウェブ利用者に壊滅的な影響を与える可能性があります。そのため、認証局は、その証明書が信頼される前に、厳格に審査されなければなりません。この審査は、ウェブブラウザのメーカーがユーザーに代わって行い、各ブラウザは、認証局が「ルートプログラム」に含まれ、そのブラウザによって信頼されるために満たすべきポリシーを設定します。

デジタル・アイデンティティ枠組の考え方

デジタル・アイデンティティの枠組みには、2014年のeIDAS規制で創設されたものの、その技術的実装モデルの欠陥のためにウェブのエコシステムで高い評判を博していない、EU固有の形式のウェブサイト証明書である適格ウェブサイト認証証明書Qualified Website Authentication Certificates（QWAC）の普及を目的とする条項が含まれています。デジタル・アイデンティティの枠組みは、証明書のセキュリティ特性や発行を管理するポリシーに関係なく、トラストサービスプロバイダが発行したQWACをブラウザが受け入れることを義務付けています[2]。この法的アプローチは、ウェブブラウジングを保護するためのグローバルなマルチステークホルダーエコシステムに大きな弱点をもたらし、ウェブ利用者のサイバーセキュリティリスクを大幅に増加させると予想されます。

セキュリティへの影響

最も直接的なのは、これらの規定によって、サイバー犯罪者から個人を守ることがより困難になることです。前述のとおり、Web サイトの認証の弱点、つまり、悪質な業者が正規の Web サイトになりすましたり、転送中のデータを傍受したりすることは、個人情報の盗難や金融犯罪の重要な媒介となるものです。ほとんどのウェブブラウザは、ウェブサイト証明書に関する厳格なセキュリティ基準を設けていますが、これはまさにこのエコシステムの脆弱性から生じる個人へのリスクを考慮してのことです。一部のウェブサイト証明書が既存のセキュリティ基準を回避できるようにすることによって、改正後の第45条は、安全でないか、または悪意のある証明書をサイバー犯罪者が発行するリスクを高め、証明書がウェブユーザーにリスクを与えることが判明した場合にサイバーセキュリティ・コミュニティが迅速に対応することを不可能にします。

より広い意味で、改正された第45条による政策アプローチは、危険なサイバーセキュリティ政策に向う傾向を示しています。民間業者が、政府が任命した認証局は政府のセキュリティ基準に従っているからサイバーセキュリティ上のリスクはないと考え、自社の製品やサービスを利用する人々に対する民間事業者の義務を放棄させるものです。民間事業者に自社製品のセキュリティに対する責任を放棄させるというこのアプローチは、サイバーセキュリティや領域横断的なリスク管理において確立された規範に反するものです。特に、脅威が絶えず進化し、リアルタイムの運用対応が不可欠なサイバーセキュリティの分野では、ユーザーの利益のためにベンダーがセキュリティ対策を行うことを規制の枠組みが妨げるような効果を持つべきではありません。

結論と提言

今回の改正の意図は、ウェブ上の認証を改善することであると理解していますが、実際には逆効果になるでしょう。ブラウザの既存のセキュリティ審査を迂回する手段を設けることで、提案されている規制はユーザーをサイバー犯罪者からの攻撃リスクの増加にさらすことになります。

したがって、私たちは、ブラウザがウェブ上のサイバー犯罪から個人を保護するために重要なセキュリティ作業を継続できるように、改訂された第45条第2項の修正を強く求めます。

注

1 European Commission (2020) ‘Europeans’ attitudes towards cyber security (cybercrime)’ In: ユーロバロメーター499。https://europa.eu/eurobarometer/surveys/detail/2249

2 欧州委員会（2021）、欧州デジタル・アイデンティティの枠組み確立に関する規則（EU）第910/2014号の改正に関する欧州議会及び理事会規則の提案、パラグラフ38（EU第910/2014号第45条を改正）。入手先:https://digital-strategy.ec.europa.eu/en/library/trusted-and-secure-european-e-id-regulation

(affiliation for identification purposes only)
David Awad, Faculty Instructional Associate of Computer Science, Georgia Tech
Andrew Ayer, SSLMate
Gilles Barthe, Max Planck Institute for Security and Privacy, Germany
Daniel J. Bernstein, Research Professor, University of Illinois at Chicago, USA; Ruhr University
Bochum, Germany; Academia Sinica, Taiwan
Karthikeyan Bhargavan, Researcher, Inria Paris
Dan Boneh, Professor of Computer Science, Stanford University
Jon Callas, Director of Tech Projects, Electronic Frontier Foundation
Stephen Checkoway, Assistant Professor of Computer Science, Oberlin College
Cas Cremers, Professor of Computer Science, CISPA Helmholtz Center for Information Security
Claudia Diaz, KU Leuven
Zakir Durumeric, Assistant Professor of Computer Science, Stanford University
Roya Ensafi, Assistant Professor of Computer Science and Engineering, University of Michigan
Ian Goldberg, Professor of Computer Science, University of Waterloo, Canada
Seda Gürses, Associate Professor, Faculty of Technology, Policy and Management, TU Delft
Joseph Lorenzo Hall, PhD, Internet Society
J. Alex Halderman, Professor of Computer Science and Engineering and Director of the Center
for Information Security and Society, University of Michigan
Alexis Hancock, Director of Engineering, Certbot, Electronic Frontier Foundation
Dr.-Ing. Mario Heiderich, Cure53
Scott Helme, BSc (Hons), Report URI, Security Headers
Tibor Jager, Professor of Computer Science, University of Wuppertal, Germany
Martin Johns, Professor of Computer Science, TU Braunschweig
Mallory Knodel, Center for Democracy & Technology
Tanja Lange, Professor Cryptology, Eindhoven University of Technology, Netherlands and
visiting professor AcademiaSinica, Taiwan
Thyla van der Merwe, ETH Zurich
Alec Muffett, Security Researcher
Dr Lukasz Olejnik, independent researcher
Kenneth Paterson, Professor of Computer Science, ETH Zurich
Mark D. Ryan, Professor of Computer Science, University of Birmingham, UK
Peter Schwabe, Tenured Faculty at MPI-SP & Professor at Radboud University
Wendy Seltzer, World Wide Web Consortium
Hovav Shacham, Professor of Computer Science, The University of Texas at Austin
Adam Shostack, Author, Threat Modeling Designing for Security. USA
Nigel Smart, Professor, KU Leuven, Belgium
Eugene H. Spafford, Professor of Computer Science, Purdue University
Carmela Troncoso, EPFL, Switzerland
Michael Veale, Associate Professor of Digital Rights and Regulation, University College
London, UK
Kenneth White, Open Crypto Audit Project
Daniel Zappala, Professor of Computer Science, Brigham Young University

出典：https://www.eff.org/files/2022/03/02/eidas_cybersecurity_community_open_letter_1_1.pdf

下訳にDeepLを用いました。