マイナンバーカード偽造で「ID/パスワードが漏えいする……」は誤認 今一度おさらいしたい仕組み

9

2023年12月06日 03:41  ITmedia Mobile

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia Mobile

マイナンバーカードのイメージ

 中国からの情報をもとに偽造したマイナンバーカードを所有していたとして、中国籍の女性が逮捕された事件。報道後、SNSやニュースサイトのコメント欄では「偽造されたことで、他者に悪用される」などと誤解が広まっている。そこでマイナンバーカードの仕組みを今一度おさらいしたい。


【その他の画像】


●マイナンバーカードの概要


 まずはマイナンバーカードの概要をおさらいしたい。


 マイナンバーは日本国内に住民票を持つ人に割り振られる12桁の番号を指す。「所得や他の行政サービスの受給状態を把握しやすくし、不正給付などを防ぐとともに公平な支援を行うこと」「社会保険、医療などのさまざまな情報を効率よく運用し、行政機関や地方公共団体などにおいて情報の照合や入力にかかる時間や手間を減らすこと」「行政機関の持つ情報の確認や、お知らせなどの受信が行えること」などが目的やメリットとして挙がっている。


 マイナンバーカードは日本国内における行政関連手続きで個人を特定すべく、識別番号が付与されるプラスチック製のICチップ付きのカードを指す。マイナンバーカード所有者がキャッシュレス決済事業者を選択し、購入金額またはチャージ金額に対して一定額の特典が各決済サービスのポイントで還元されるマイナポイント事業の対象でもある。マイナンバーカードが手元になくてもその機能の一部を連携したスマートフォンで実行できるのも特徴だ。


●IDとパスワードが漏えい……は誤認


 今回の事件後の報道を受け、SNSやニュースサイトのコメント欄を見てみると、「ECサイトのIDとパスワードが漏えいし、他者に悪用されるのと同じ手口でマイナンバーカードが悪用される」などの意見もあるが、それは大きな誤りだ。


 マイナンバーカードのICチップには「利用者証明用電子証明書」と「署名用電子証明書」という公的個人認証サービスのための2つの電子証明書が搭載されており、いわゆるID、パスワードの次元とは全くことなる仕組みで運用される。


・利用者証明用電子証明書:サービス利用者の本人確認で利用


・読み出すためには、あらかじめ設定した4桁のパスワード(暗証番号)が必要


・現在は「マイナポータル」へのログインやコンビニエンスストアでの公的証明書発行サービス(一部市区町村のみ対応)などで利用している


署名用電子証明書:電子文章に添付するために利用


・読み出すためには、あらかじめ設定した6文字以上16文字以下のパスワード(英数字)が必要


・「e-Tax(国税電子申告・納税システム)」の電子書類提出時などに利用している


 前者の署名用電子証明書は本人確認に加え、提出書類の改ざんを防ぐ役割を持ち、住所、氏名、性別、生年月日の基本4情報が含まれる。e-Taxでの確定申告など、文章を伴う電子申請などに使用される。


 後者の利用者証明電子証明書はサービスへの認証に使用する。同証明書には住所、氏名、性別、生年月日の基本4情報が含まれないため、サイトが個人を特定することはできないが、アクセス主が利用者本人か否かの区別はできる。


●ペアで提供される「秘密鍵」「公開鍵」の存在も覚えておこう


 加えて、「秘密鍵」と「公開鍵」の存在も忘れてはならない。秘密鍵と公開鍵はマイナンバーカードの発行時にペアで提供され、片方の鍵で暗号化されたものは、もう一方の鍵でしか復号できないことがポイントとなる。秘密鍵と公開鍵が署名用電子証明書と利用者証明電子証明書でどのように利用されるかを見ると、よく理解できるはずだ。


 例えば、e-Taxで確定申告をする際、以下のような流れで暗号化から認証までが行われる。


1. マイナンバーカードに格納されている秘密鍵で文書を暗号化する


2. 文書と合わせて暗号化された文書と公開鍵・電子証明書を送付する


3. 発信者(申請者)から送られた公開鍵で暗号化された文書を読める状態にする


4. 文書と照合し、改ざんの有無を検知する


5. 電子証明書の有効性を照会する


6. 電子証明書の有効性を回答する


7. 有効なら認証に成功する


 もう一方の利用者証明用電子証明書はマイナポータルへのログインや、コンビニで公的な書類を発行する際に使う。その場合には秘密鍵と公開鍵が以下のような流れで利用される。


1. 生成した乱数を送付する


2. マイナンバーカードに格納されている秘密鍵で乱数を暗号化する


3. 乱数とともに暗号文と公開鍵・電子証明書を送付する


4. 発信者(マイナンバーカード利用者)から送付された公開鍵で暗号化された乱数を読める状態にする


5. 乱数と照合して改ざんの有無を検知する


6. 電子証明書の有効性を照会する


7. 電子証明書の有効性を回答する


8. 有効なら認証に成功する


●券面の複製、偽造だけでは意味なし


 今回の報道には「偽のIDチップが付いたカードが押収された」との内容も含まれているが、券面のみを複製または偽造しただけでは、マイナンバーカードのICチップを必要とする認証およびサービスは利用できない。無論、カードそのものが複製、偽造されたからといって、「ECサイトのIDとパスワードが漏えいしたのと同じ」などと騒ぐことではないはずだ。


このニュースに関するつぶやき

  • アホを完全に黙らせる為に書かれたこの記事にもアホが湧くんだろうな(白眼)
    • イイネ!17
    • コメント 0件

つぶやき一覧へ(7件)

ランキングIT・インターネット

前日のランキングへ

ニュース設定