欧州委員会が2026年4月14日に発表したデジタル年齢認証アプリについて、英国のセキュリティコンサルタントであるポール・ムーア氏が、2分以内に認証をバイパスできると実証した。
同アプリはセットアップ時のPINを暗号化し、デバイス上の shared_prefs ファイルに保存する。攻撃者は同ファイルから PinEnc と PinIV を削除し、新たなPINを入力することで、元の認証済みプロファイルの資格情報を取得できる。さらにカウンタをリセットすればレート制限を回避でき、UseBiometricAuth を false にすれば生体認証も省略される。同アプリは欧州デジタルIDウォレットのプロトタイプで、2026年3月には別の欠陥も指摘された。フランス、スペイン、デンマークを含むEU加盟6カ国がパイロット段階にあり、欧州委員会は4月17日時点で公式対応を発表していない。
From: 
EU’s New Age Verification App Can Be Hacked Within 2 Minutes, Researchers Claim
【編集部解説】
今回発覚した脆弱性は、単なる「アプリの不具合」として片付けられる話ではありません。EUが重要国家インフラとして構築中のデジタルアイデンティティ基盤、その入り口で起きた出来事だからです。
まず押さえておきたいのは、このアプリの設計思想そのものは、むしろ先進的であるという点です。従来の年齢確認はパスポート画像のアップロードや顔認識データの送信を伴い、プラットフォーム側に個人情報が蓄積される構造でした。対してEU版は「18歳以上であること」だけを暗号学的証明としてオンデバイスで生成し、プラットフォームには「はい/いいえ」の結果のみを返すゼロ知識証明ベースの仕組みです。英国が採用したID画像アップロード方式がVPN利用の急増という副作用を生んだことを踏まえると、EUの思想は明確にプライバシー保護に軸足を置いています。
問題は、その崇高な思想を実装レベルで裏切ってしまった点にあります。ポール・ムーア氏が突いたのは暗号技術の弱さではなく、アーキテクチャの接続部分です。本来であれば、ユーザーが設定したPINは、アイデンティティ情報を格納する金庫(ボールト)を開ける「鍵」として暗号学的に紐づいているべきでした。しかし実際には、PIN認証と資格情報の保管庫が分離されており、鍵を交換しても金庫の中身がそのまま新しい鍵で開いてしまうのです。shared_prefs ファイルが編集可能な平文設定であった点も、基礎的な設計原則から外れています。
さらに注目すべきは、欧州委員会の公式発表と開発実態の温度差です。フォン・デア・ライエン委員長は4月15日に「技術的に準備が整った」と宣言しましたが(※一部メディアは発表日を4月14日と報じています)、GitHubに公開されているリポジトリのReadmeには、これは初期開発版でありセキュリティ水準は最終版より低く本番利用は推奨しないという旨の注意書きが明記されています。政治的な発表とエンジニアリングの現実のあいだに、見過ごせない隔たりがあるのです。
この一件は、単体アプリの問題にとどまりません。今回のアプリは「ミニウォレット」と呼ばれ、2026年末までに全加盟国が提供義務を負うEUデジタルIDウォレット(EUDI Wallet)のプロトタイプという位置付けです。銀行口座開設、医療記録、学位証明、運転免許までを格納する構想の入り口で設計上の失敗が露呈したことは、今後のエコシステム全体の信頼性に影を落とす可能性があります。デジタルサービス法(DSA)のもとでプラットフォームには高額の制裁金が課されうるため、企業側も「どの年齢確認ソリューションを採用するか」という判断をより慎重に迫られるでしょう。
開発はScytálesとT-Systemsが担っており、体制的には決して弱い布陣ではありません。むしろ、短期間での仕様策定と実装、オープンソースでの公開、パイロット投入というスピード優先のアプローチが、レビュー密度の不足を招いた可能性が指摘されています。重要インフラにおいて「早く動くもの」と「壊れないもの」のどちらを優先すべきか ── オープンソースだからこそ研究者が2分で発見できた、という逆説的な側面もあり、透明性の価値と未成熟な公開のリスクは表裏一体です。
日本の読者にとっても、この議論は対岸の火事ではありません。マイナンバーカードのスマートフォン搭載やデジタル庁によるトラストサービス整備が進むなか、「国家が設計する身元証明システムをどう検証し、どう信頼するか」という問いは共通の課題です。EUの試みは、その成功も失敗も含めて、今後の日本の制度設計に参照される事例になっていくと考えられます。
未来は「誰に何を証明するか」を私たち自身が選べる方向へ進もうとしています。今回のつまずきは、その理想に至る道筋がまだ整備途上であることを示す、貴重なシグナルと受け止めるべきでしょう。
【用語解説】
shared_prefs(Shared Preferences)
Androidアプリが設定値を保存するためのローカル領域のこと。通常はXML形式の平文で保存されるため、デバイスにアクセスできれば中身を読み書きできてしまう性質を持つ。機密情報の保管先としては本来ふさわしくない。
PinEnc / PinIV
今回のアプリが shared_prefs に書き込んでいた設定項目名。暗号化されたPIN値(PinEnc)と、暗号化に用いる初期化ベクトル(PinIV)を指す。これらを削除するだけでPIN再設定画面に遷移してしまう点が脆弱性の核心だ。
UseBiometricAuth
生体認証を使うか否かを制御する真偽値のフラグ。設定ファイルを編集して false にすれば、指紋や顔認証のステップが丸ごとスキップされてしまう設計になっていた。
アイデンティティボールト
パスポート情報や年齢証明など、本人確認に関わる機微な資格情報を暗号化して格納する保管領域のこと。本来はPINや生体情報と暗号的に結びつき、正しい認証なしには開けられない金庫のような役割を担うべき構成要素である。
ゼロ知識証明(Zero-Knowledge Proof)
ある情報を「知っている」ことを、その情報自体を相手に明かさずに証明する暗号技術。今回の文脈では「18歳以上である」という事実だけを相手側に伝え、生年月日や氏名などは一切渡さない仕組みを可能にする中核技術だ。
ミニウォレット(mini-wallet)
欧州委員会が用いる呼称で、今回の年齢確認アプリの別称。2026年末に展開予定のEUデジタルIDウォレット(EUDI Wallet)の機能のうち、年齢確認だけを先行して切り出した限定版という位置付けである。
ブルートフォース攻撃とレート制限
ブルートフォース攻撃は、PINやパスワードを総当たりで試して突破する手法。レート制限は、一定回数の失敗でロックアウトしてこの攻撃を防ぐ仕組みだが、今回のアプリでは試行回数のカウンタも編集可能な状態にあり、機能していなかった。
【参考リンク】
欧州委員会 年齢確認ソリューション公式ページ(外部)
EUの年齢確認アプローチを欧州委員会自身が解説する公式ページ。ブループリントの概要、技術仕様、導入スケジュールが網羅されている。
欧州委員会 ニュースリリース(2026年4月15日)(外部)
フォン・デア・ライエン委員長による「技術的準備完了」宣言を伝える、2026年4月15日付けの欧州委員会公式プレスリリース。
欧州委員会 プレスコーナー 委員長声明(外部)
フォン・デア・ライエン委員長とヴィルクネン執行副委員長によるデジタル年齢認証アプリに関する声明全文を掲載した公式ページ。
EU年齢確認アプリ GitHubリポジトリ(Android版)(外部)
ポール・ムーア氏が解析対象とした、EU年齢認証アプリのAndroid版ソースコードが公開されているオープンソースの公式リポジトリ。
EU年齢確認ソリューション 技術仕様ドキュメント(外部)
EU年齢確認ソリューションのアーキテクチャ、プロトコル、インターフェース、参照実装を定義する公式技術仕様リポジトリ。
Scytáles AB 公式サイト(外部)
スウェーデン拠点のデジタルID企業。T-Systemsと組むT-ScyコンソーシアムとしてEU年齢認証アプリを共同開発している。
T-Systems International GmbH 公式サイト(外部)
ドイツテレコム傘下の大手ITサービス企業。Scytálesと組むT-Scyコンソーシアムとして同アプリを共同開発している。
Paul Moore(ポール・ムーア)氏 公式Xアカウント(外部)
2分以内でバイパスを実演した英国のセキュリティコンサルタント本人の公式Xアカウント。脆弱性に関する発信を随時確認できる。
【参考記事】
New EU age verification app hacked? Researcher demonstrates 2-minute bypass(PiunikaWeb)(外部)
ポール・ムーア氏の実演動画がX上で260万回再生されたことと、GitHubの初期開発版注意書きを伝える技術メディアの記事。
Experts slam EU age verification app after easy 2-minute bypass(Cybernews)(外部)
EUが2025年7月に公開したプロトタイプの経緯と、PIN暗号化とアイデンティティボールト分離という設計問題を解説する記事。
The EU approach to age verification(欧州委員会 Shaping Europe’s digital future)(外部)
2026年末までに全加盟国がEUDI Wallet提供義務を負うという制度的位置付けが示された、欧州委員会の公式解説ページ。
Brussels says EU age verification check ready amid child safety push(Euronews)(外部)
ゼロ知識証明の仕組みを平易に解説し、フランス・スペイン・イタリアを含む7加盟国の統合計画を伝える欧州報道機関の記事。
Europe rolls out online age verification app to protect young people(CNN Business)(外部)
プラットフォームが同等の年齢確認手段を示せない場合、DSAで制裁を受けうると欧州委員会広報担当者が明言した点を報じる記事。
What to Know About the E.U.’s New Age Verification App for Social Media(TIME)(外部)
4月15日の発表を各国SNS規制の世界的動向の中に位置付け、EU版が初のブロック全体での集権的アプローチである点を指摘する。
【関連記事】
DNP「本人確認アプリ」2026年8月提供開始—犯収法改正が変えるeKYCの常識
EUが年齢認証アプリを発表した翌日、日本ではDNPが本人確認アプリを発表。デジタルID施策を並べて読める。
MediaTek製Android端末に重大脆弱性—特殊な電磁波攻撃でPINとストレージ暗号化が数分で無効化される恐れ
Androidデバイス上のPINが短時間で無効化される脆弱性という点で、今回の事案と技術的に近い事例。
Claude Codeに重大な脆弱性3件、設定ファイル経由でマシン乗っ取りの危険性
設定ファイルの編集だけで認証を迂回できるという、今回のEU記事と同じ攻撃パターンを扱っている。
Bitwarden・LastPass・Dashlaneに25件の脆弱性|ゼロ知識暗号化に欠陥
ゼロ知識暗号化とボールト設計の欠陥という、今回のEU年齢認証アプリと同根の技術的論点を扱う。
EUチャットコントロール(CSAR)、デンマークが修正案も3つの問題が未解決―令状なし監視・匿名性制限・年齢制限
EUにおける年齢確認・匿名性制限をめぐる規制論争の背景を押さえるのに役立つ記事。
IEEE標準化協会、子供向けオンライン年齢認証システムの国際標準を策定 – インドネシアやギリシャで実用化進む
子ども向けオンライン年齢認証システムの国際標準化の流れを俯瞰する視点を与えてくれる。
【編集部後記】
「自分が18歳以上であることだけを、名前も生年月日も明かさずに証明できる」── そんな未来の身分証明が、もう目の前まで来ています。今回の脆弱性騒動は、その技術思想そのものを否定するものではなく、むしろ「誰がどう実装し、誰が検証するのか」という問いを私たち全員に投げかけているように感じます。
みなさんは、オンラインで年齢や身元を証明する仕組みに、どこまでプライバシーを譲れると思いますか。そしてマイナンバーカードのスマホ搭載が進む日本で、EUの歩みは私たちの選択にどう影響するでしょうか。ぜひ、ご自身の感覚を探ってみてください。
