EUの年齢認証アプリ、Google未認証のAndroidシステムを全面的に遮断へ

 (reddit.com)
3 ポイント 投稿者 GN⁺ 2025-07-28 | 5件のコメント | WhatsAppで共有
  • EUはプライバシー保護重視の年齢認証アプリをオープンソースで開発中で、各加盟国がカスタマイズして導入する予定
  • アプリはRemote Attestation(リモート認証)機能を通じて、アプリが正常で信頼できる環境で実行されているかを検証する計画
  • GoogleがライセンスしたAndroid OS、Play Storeからのインストール端末セキュリティ検査の通過など、Googleエコシステムと強く連動している
  • GrapheneOSなどセキュリティ性の高いカスタムAndroidもGoogleの公式認証を受けていないため利用不可で、Play Integrity APIの活用により一般的なAndroid Attestationより強い制限が設けられる
  • 結局、自分でビルドしてもPlay Store配布でなければ利用不可となり、オープンソースでありながら実質的なGoogleサービス依存代替OSの排除という問題を引き起こしている

EU年齢認証アプリの概要

リモート認証とセキュリティ方針

  • アプリには**Remote Attestation(リモート認証)**機能が導入される予定
    • アプリが正規OSおよび信頼できる環境で動作しているかをサーバーが検証
    • "Genuine" Androidの基準:
      • Googleライセンス済みOSであること
      • Play Storeからアプリをインストールする必要がある(Googleアカウントが必要)
        • 端末セキュリティ検査の通過が必要
  • この検証方式はGoogle Play Integrity APIに依存している
    • AOSP(標準Android)標準のAttestationよりはるかに強い制限を適用
    • GrapheneOS、LineageOSなどのカスタムOSではほとんど通過できない

カスタムOSとビルドの制限

  • 非公式OSや自分でビルドしたアプリはリモート認証を通過できない
    • Play Store未登録アプリはサービス認証に失敗する
    • 実質的にGoogleアカウント・サービスに依存する構造
  • オープンソースでありながら、ユーザーの自由やより高い安全性を持つOSまで排除される問題が生じている

影響と論争

  • EU市民や開発者コミュニティでは、Google依存の強化、代替OSの排除、オープンソースの限界をめぐる議論が起きている
  • セキュリティとプライバシー保護という趣旨とは裏腹に、ユーザーの選択肢の縮小特定エコシステムへの依存への懸念が高まっている

関連記事

5件のコメント

 
crawler 2025-07-30

……では、なぜAndroidを使うのでしょうか?
 
ng0301 2025-07-30

向こうも人数だけは多いけど、やってることはこことあそこも大差ないなwww
 
null468 2025-07-29

年齢認証と個人情報保護がどう両立できるのか、よく分かりませんね..

認証をする瞬間、少なくとも一度はそこに自分の署名を残すのと同じではないでしょうか?

本当に個人情報を保護するなら、匿名で使えるようにすべきでしょう
 
unsure4000 2025-07-28

一方、Pass:
 
GN⁺ 2025-07-28
Hacker Newsの意見

  • Androidでは、「正規」とは Google がライセンスした OS、Play Store からダウンロードしたアプリ(Google アカウントが必要)、そして端末のセキュリティ検査に合格していることを意味する。
    この方法で端末のセキュリティ確認に価値があることは認めるが、そのぶんアプリが Google の自社サービスに強く依存することになる。
    この種のセキュリティ検査は非公式の Android OS では通過できないため、欧州のデジタルIDウォレット計画で問題視されている。
    関連GitHub issue
    私はこの計画には強く反対したい。
    年齢確認の過程で米国ビッグテックへの依存度を高めれば、欧州は米国にさらに大きな IT 主権を渡すことになり、非常に望ましくない。
    最近の政治状況を見れば、このリスクがどれほど大きく望ましくないかは、あえて説明するまでもなく明らかだと思う。
    当事者である私自身も、この懸念はもっともだと感じる。
    その GitHub issue の別のコメントでも、Google サービスを強制することが一部の EU 加盟国の法的独立性やプライバシー関連法に抵触する恐れがあると議論されている。

    • 「端末セキュリティ検査」は、個人的には最も恐ろしい要素だ。
      これは実質的に「公式に承認されたハードウェアとソフトウェア」を意味しており、Stallman が "Right to Read" で警告したディストピアへの近道だ。
      EU が自らデジタル権威主義を強化するために米国のビッグテックに依存しているように見えるのは、かなり皮肉だと思う。
      古典的なアメリカ的自由(反抗的な自由)の概念は、EU や英国ではそこまで人気がないようだ。

    • 政治的環境が理由である必要すらなく、この政策自体が根本的に不安だ。
      国家による情報ののぞき見のほうが常に危険であり、むしろ非ローカルな OS を使うほうがプライバシーの面で有利なこともある。
      ただし、プロプライエタリコードを実行する際には注意が必要だ。

    • 英国のある警察組織がオンラインで移民批判者を監視しているという記事に触れつつ、米国の政治環境を心配する人もいるが、英国の状況も安心できないことを指摘したい。

  • 欧州連合は米国企業への依存を減らすと言って毎回イノベーションを叫ぶが、実際にはしばしば言うことを変え、時間がたつと静かに忘れてしまうという悪循環を繰り返している。
    欧州諸国は個別には強いが、ときどき欧州連合は騒がしいだけで実効性がないように感じる。

    • 構造的に、欧州連合は一つの国家ではなく、経済的な超国家組織だからだ。
      フランスやドイツはしばしば戦略的自律性を強調するが、ポーランド、チェコ、バルト三国はこうした動きにあまり好意的ではない。
      最近のセルフホスティング論議のように、自律性と効率性の間でバランスを取るべき問題だ。

    • 欧州人の 95% はすでに米国製 OS を使っているのに、年齢確認のために EurOS が配布されるまで 20 年も待つことはできない。

    • EU が政策方針を揺らし続ける主な理由は、実際にはフランス、ドイツ、アイルランド、チェコなど各国の産業上の利害が衝突しているからだ。
      「EU 独自の技術」を叫ぶのは、ほとんど常にフランスの政策立案者や企業だけで、ドイツ、オランダ、東欧はそうではない。
      EU 全体よりも個々の国家利益のほうが優先され、米国ビッグテックの海外直接投資は多くの加盟国経済ですでに非常に大きい。
      1980~90年代に日本や韓国の自動車企業も、米国市場と利害を合わせながら協力を選んだ前例がある。

    • EU は一種の「効果のないうるさいチワワ」のようなものだ。
      権威主義的な法律は通すが、各国の政治家は仕方ないと言いながら、インターネット統制で得られる利益はきちんと受け取る。
      その一方で、一般市民にはほとんど利益がない。

  • インターネットの自由をめぐる戦いは加速している。
    ディストピア的な法案に対する実質的な抵抗がなければ、情報の自由な流れは徐々に例外的な状況へと追いやられている。
    これは未来の可能性ではなく、まさに今この瞬間に世界中で起きている現実だ。

    • 友人は、自国の抗議デモに関する X(旧 Twitter)の投稿を見られなくなったと言っていた。
      こうした投稿は「成人向け」コンテンツに分類され、今では身分証による認証なしでは見られない。
      実際のポルノですらなく、デモの映像なのに。
      本当に、こうしたことはすでに今日起きている。

    • いつも「子どものことを考えなければならない」から始まるが、それは単なる始まりにすぎない。
      インターネットの黄金時代、野生の時代はすでに終わった。
      これから先、プライバシーや表現の自由を守れるかどうかさえ不確かだ。

  • 正体を知りたいなら、公式の技術文書ユーザーフロー図を参照してほしい。
    中核となる利用フローは、プライバシーを保護しながら「18歳以上」であることを確認するものと要約できる。
    この方式は未成年のポルノアクセスを防ぐためのものだが、技術を少し知っている人にとっては障害になりえない。
    たとえば少し知識があれば、VPN を使ったり torrent を使ったりしていくらでも回避できる。
    BitTorrent でも 18歳認証が必要になるなら話は別だが、現実的には止めるのは難しい。

    • 実際、最近はブラウザ(例: Opera GX)と VPN だけでも大半は簡単に回避できる。
      YouTube 広告で頻繁に見かけるほど一般的な方法なので、これが「tech-savvy」なレベルですらないかもしれない。

    • ソーシャルメディアのほうが、ポルノよりむしろ大きな問題だと思う。
      いっそソーシャルプラットフォームを全部閉じて、ポルノだけ残したほうがましかもしれない。
      幼い頃からそういうものを見ると問題が起きるかもしれないが、世界的に出生率が低下している現状を見ると、みんなあまり子どもを持つ気がないのだから、もう心配する理由すらないようにも思えてくる。
      最近、自分はずいぶんシニカルになった気がする。

    • 根本的な解決策は、そもそも未成年をインターネットから遠ざけることだと考えている。
      18歳未満の生徒が、きちんとした大人の監督なしにオンラインにいるなら、社会全体がすでに責任を果たせていない。
      学校の課題がオンライン中心になってしまい、この船はすでに出航してしまったが、いつかまたゼロからやり直すべきだ。
      ポルノと同じくらい危険なのは、結局ほかの人間と、さまざまな依存症だ。
      根本問題を解決せず制度だけ変えても、本質は変わらない。
      追記: 学校の課題でインターネットが必須になっていること自体が気に入らない。
      子どもにインターネット使用を許可するかどうかは親の権限であるべきで、技術的な年齢確認やコンテンツの全面遮断政策には反対だ。
      親が子どもを賢明に導くべきだ。

  • EU の友人たちに聞きたい。
    なぜ Google のような米国ビッグテックに振り回されるのか。
    欧州にはそれ自体で十分にやれる能力があると思う。
    Google なしでも可能であり、重要なのは明確な計画と実行する意志だ。

    • 米国ビッグテックは「無料」のソリューションさえ提案すれば、EU も簡単に受け入れ、結局はあらゆる条件に従うことになる。
      その後になって、当然のように遅れて驚く姿も繰り返される。

    • 資本不足と将来への不安が原因だ。
      Google が数億ユーロを投じてデータセンターを建設すると言えば、雇用や地域経済活性化の論理が出てくる。
      Google と良好な関係を保てば、こうした誘致プロジェクトが次々と生まれ、逆に断ればビッグテックは投資先を移すかもしれない。
      最近は欧州製技術を自前で作るべきだという声も強まっているが、ビッグテックの価格競争力に対抗して投資を呼び込むのは非常に難しい。
      国家が直接投資するのはあまり人気がなく、民間企業の立場でも確実な需要契約がなければ投資の誘因は低い。
      結局、グローバルなビッグテックが最も速く安くやってくれるのであり、供給網がもし断たれれば、そのリスクは欧州全体に広がる。
      もし EU が米国ビッグテックを全面的に排除すれば、米国で報復的な貿易戦争を誘発する可能性もある。

    • 「EU には自前で解決する能力がある」という主張には同意しない。
      実際に使った EU 産ソフトウェアの多くは品質が低く、比較的ましだったソフトウェアでさえ結局は米国企業に買収された。

    • 結局重要なのは「金」だ。
      欧州では、その金を集めて活用するやり方が米国とは違う。

    • 政治は結局、腐敗しやすい。

  • 以前にも、政府が Google 非公式の Android 端末を禁じた前例がすでにある。
    GrapheneOS でブロック関連の整理を読むことができる。

  • 現実はますます、技術的に勝者のいないゲームになってきている。
    私は GrapheneOS を毎日使っていて、デフォルトであるべきだと思うほど満足している。
    あるアプリが同様の制約を適用していて、まったく起動できないため、そのアプリ専用に純正 Android 端末をもう一台使っている。
    不便ではあるが、それだけの価値はあると感じている。
    それでも、この流れが自分の周囲で急速に広がっていないのは幸いだが、トレンド自体は気に入らない。

    • この状況で勝てる唯一の選択肢は、そもそもゲームに参加しないことだ。
      スマートフォンは必要だが、日常的なコンピューティングは別のコンピュータで行うのが答えだ。

    • 技術の問題ではなく、実際には規制の問題だ。
      EU はインターネットをさらに統制しようとしており、今は「子どものため」という名目だが、やがて実名制やチャット検査などにつながるかもしれない。
      こうした規制を進める勢力は必ず止めなければならない。

  • 新たに試みられているユーザーフロー自体も不便だが、米国であれ中国であれ、民間企業がインターネットへの入場券を握ることのほうがさらに不快だ。
    いったい誰がこんなインターネットを望むのか。

    • こんなインターネットを望むのは、結局おびえた金持ちと官僚たちだ。

  • イデオロギーの問題を脇に置いても、この方式が本当に技術的に必要なのかを問いたい。
    たとえば、この認証をしなければ、単にソースコードやバイナリを書き換えて無条件に「私は18歳以上です」と偽ることができる。
    だとすれば、Google を介さずにこれを防ぐ明確な技術的方法があるのか気になる。

    • その通りだ。
      この全体の流れは、実際には EU Wallet(Project)ベースであることを前提にしている。
      EU Wallet は OpenID(oidc4vci, oidc4vp)標準に基づき、属性ごとの選択的認証をサポートする。
      たとえば政府が発行した属性を電子署名の形でウォレットに保存できる。
      問題は、この情報が複製されたり中古で売買されたりしうるため、単なる保存だけでは認証回避が可能なことだ。
      そこで属性(資格情報、Credential)を発行する際に特定の端末へひも付けて公開鍵/秘密鍵ペアを認証し、これに基づいて RP が実際にその端末から要求が来たのかを追加で確認する。
      結局この段階で「セキュアストレージ」、つまり Secure Enclave のようなハードウェアが必要になる。
      もし root 化された端末のような保護されていない環境、あるいは秘密鍵そのものを取り出せる状況なら、端末間で複製できてしまうため趣旨が無意味になる。
      たとえば 18歳以上の友人が認証を受け、それを共有することができてしまう。

    • 事実上、Web サイトにログインして本人が身分証を持っていることを証明する程度の話なのに、ここでハードウェアトークンや生体認証(例: FIDO、パスキーなど)が要求される可能性がある。
      問題は、実物と仮想トークンの区別、およびシミュレーション防止にあるようだ。
      ここで Secure Boot などのハードウェア信頼性検証が関わってくる可能性がある。

    • 認証回避を防ぐには、EU に登録された production 署名チェーンによってブート、OS、ハードウェアが認証された状態である必要がある。
      ユーザーが独自の署名鍵を登録したり、セキュアブート対応 OS イメージをカスタマイズしたりした場合、ブート検証が一致せず認証は不可能になる。
      これは macOS でも、セキュリティオプションを解除すると Apple Wallet にアクセスできなくなる仕組みと似ている。
      本質的には、ユーザーが自由にカスタマイズすること自体は止められないが、その場合は公式の認証チェーンから外れる。
      問題は、このシステムを商用化してハードウェアと OS に適用している事例が Google と Apple しかないことだ。
      結局、EU が自前の認証チェーンを常に広く開きつつ、もしセキュリティ上の欠陥が悪用されたり通報があったりした場合には法的責任を負わせることになる。
      将来的には Steam Linux などでも、VAC などのセキュリティ認証のためにこのチェーンを EU に登録できるかもしれない。
      結局、メーカーやプラットフォームが責任意識を持って EU に信頼性を訴求できなければならず、将来はより多様な OS やチェーンが許容される可能性もある。

  • 関連する長い議論はこちらのGitHub issueで確認できる。
    Google に従属する方式は、EU 市場の中核原則を損なうと考える。