ブリュッセル市の年齢確認アプリ、公開からわずか2分でハッキングされるという衝撃

ブリュッセル市が新たに導入した年齢確認アプリが、リリース直後にハッカーによってわずか2分で突破されてしまいました。セキュリティ対策の甘さが露呈する形となり、専門家の間でも大きな議論を呼んでいます。

元の記事のタイトルが間違ってる気がする。アプリをリリースしたんじゃなくて、リリース前にソースコードを公開しただけだよね。

これはeIDASの実装だね（https://www.eudi-wallet.eu/ ）。肝は、スマホ内の認証情報を使って、ID情報を誰かに開示することなく、ゼロ知識証明で自分が成人であることを証明できるってこと。ロック解除されたスマホにアクセスできる人がアプリ内のデータに触れられるなら、それは修正が必要だけど、成人確認のためにWebサイトごとにIDのアップロードを求められる今の状況よりは、プライバシー的にかなりマシだよ。こういう事態を防ぐための試みだね：> Discord says 70k users may have had their government IDs leaked in breach (Oct 2025, 435 comments) - https://news.ycombinator.com/item?id=45521738

記事で引用されているソースはこれらだね。

[1] https://xcancel.com/Paul_Reviews/status/2044502938563825820
[2] https://xcancel.com/paul_reviews/status/2044723123287666921
[3] https://csa-scientist-open-letter.org/ageverif-Feb2026

| 「この騒動はブリュッセルにとってPR上の大失敗になりつつある」

個人的な意見だけど、そう見せかけたがってるのは執筆者の方だと思う。アプリはまだリリースされてなくて、外部レビューを求めてソースコードを公開しただけだし。個々の主張を全部検証する時間はないけど、例えばこれ（下の引用参照）はかなり大げさに騒ぎすぎじゃないかな。アプリが一時画像を削除し損ねて、セルフィーが端末の内部ディスクに残り続けるっていう話だけど、もし悪意のある第三者が私のスマホの内部ディスクにアクセスできるなら、普通にカメラロールの中身も見れるはずだし。

うちの子供がブーリアンをJSONに変換できないなら、[編集済]をもらう資格なんてないね。

前回のソースコード関連の記事はこちら：https://news.ycombinator.com/item?id=47803773

アプリそのものをリリースしたわけじゃないよ。そのアプリのソースコードを公開しただけ。用語は正確に使ってほしいな。

1. 開発者が一部のエラーケースで画像を削除し忘れてたという件。これはどこにも送信されずローカルに残るだけの画像だ。オープンソースなんだから、誰かが冷静にバグを指摘すればすぐ直る話だよ。
2. 「攻撃者がshared_prefsファイルからPinEnc/PinIV値を削除できる」という話……Android開発者なら誰でも知ってるけど、shared_prefsファイルにアクセスするにはスマホのROOT権限が必要で、標準OSでは不可能な話だ。ROOT化には高度な知識が必要だし、スマホのセキュリティをわざわざ破壊する行為で、多くの場合プロセス中に初期化が必要になる。もしくは、アダルトサイトへのログインを可能にするようなアプリにアクセスするために、ハッカーが高度なエクスプロイトや0デイを使う必要があるってこと？そんなの現実的じゃない（ありえない）。
   つまり、この男は初期段階のデモアプリの極めて表面的な問題を2つ見つけただけ。ゼロ知識証明の暗号化という肝心な部分についてはスキル不足で全く理解できてない。適当な嘘を混ぜて悪意ある主張をまき散らし、ネット上で注目を浴びようとしているだけで、技術やセキュリティを理解していない連中やニュースメディアがそれに乗っかっている。たった2分で「ハッキング」と言い放つなんて本当にひどい話だ。
   しかも彼は自称「セキュリティコンサルタント」だって？彼と仕事をする人が気の毒でならない。

問題の「ハック」ってのは、アプリがユーザーの顔写真とID画像を削除し忘れることを指摘しただけのことだよね。みんなスマホに自分の顔写真なんてたくさん入ってるし、ID画像も同様。これが重大なセキュリティ欠陥なんて、到底言えないよ。

タイトルが全く誤解を招く内容だね。アプリはまだリリースされてないよ。ハイプ（煽り）だけで読者を繋ぎ止めるのにも限界があるって。