マイナンバーカード偽造で「ID/パスワードが漏えいする……」は誤認 今一度おさらいしたい仕組み
中国からの情報をもとに偽造したマイナンバーカードを所有していたとして、中国籍の女性が逮捕された事件。報道後、SNSやニュースサイトのコメント欄では「偽造されたことで、他者に悪用される」などと誤解が広まっている。そこでマイナンバーカードの仕組みを今一度おさらいしたい。
中国からの情報をもとに偽造したマイナンバーカードを所有していたとして、中国籍の女性が逮捕された事件。報道後、SNSやニュースサイトのコメント欄では「偽造されたことで、他者に悪用される」などと誤解が広まっている。そこでマイナンバーカードの仕組みを今一度おさらいしたい。
マイナンバーカードの概要
まずはマイナンバーカードの概要をおさらいしたい。
マイナンバーは日本国内に住民票を持つ人に割り振られる12桁の番号を指す。「所得や他の行政サービスの受給状態を把握しやすくし、不正給付などを防ぐとともに公平な支援を行うこと」「社会保険、医療などのさまざまな情報を効率よく運用し、行政機関や地方公共団体などにおいて情報の照合や入力にかかる時間や手間を減らすこと」「行政機関の持つ情報の確認や、お知らせなどの受信が行えること」などが目的やメリットとして挙がっている。
マイナンバーカードは日本国内における行政関連手続きで個人を特定すべく、識別番号が付与されるプラスチック製のICチップ付きのカードを指す。マイナンバーカード所有者がキャッシュレス決済事業者を選択し、購入金額またはチャージ金額に対して一定額の特典が各決済サービスのポイントで還元されるマイナポイント事業の対象でもある。マイナンバーカードが手元になくてもその機能の一部を連携したスマートフォンで実行できるのも特徴だ。
IDとパスワードが漏えい……は誤認
今回の事件後の報道を受け、SNSやニュースサイトのコメント欄を見てみると、「ECサイトのIDとパスワードが漏えいし、他者に悪用されるのと同じ手口でマイナンバーカードが悪用される」などの意見もあるが、それは大きな誤りだ。
マイナンバーカードのICチップには「利用者証明用電子証明書」と「署名用電子証明書」という公的個人認証サービスのための2つの電子証明書が搭載されており、いわゆるID、パスワードの次元とは全くことなる仕組みで運用される。
- 利用者証明用電子証明書:サービス利用者の本人確認で利用
- 読み出すためには、あらかじめ設定した4桁のパスワード(暗証番号)が必要
- 現在は「マイナポータル」へのログインやコンビニエンスストアでの公的証明書発行サービス(一部市区町村のみ対応)などで利用している
- 署名用電子証明書:電子文章に添付するために利用
- 読み出すためには、あらかじめ設定した6文字以上16文字以下のパスワード(英数字)が必要
- 「e-Tax(国税電子申告・納税システム)」の電子書類提出時などに利用している
前者の署名用電子証明書は本人確認に加え、提出書類の改ざんを防ぐ役割を持ち、住所、氏名、性別、生年月日の基本4情報が含まれる。e-Taxでの確定申告など、文章を伴う電子申請などに使用される。
後者の利用者証明電子証明書はサービスへの認証に使用する。同証明書には住所、氏名、性別、生年月日の基本4情報が含まれないため、サイトが個人を特定することはできないが、アクセス主が利用者本人か否かの区別はできる。
ペアで提供される「秘密鍵」「公開鍵」の存在も覚えておこう
加えて、「秘密鍵」と「公開鍵」の存在も忘れてはならない。秘密鍵と公開鍵はマイナンバーカードの発行時にペアで提供され、片方の鍵で暗号化されたものは、もう一方の鍵でしか復号できないことがポイントとなる。秘密鍵と公開鍵が署名用電子証明書と利用者証明電子証明書でどのように利用されるかを見ると、よく理解できるはずだ。
例えば、e-Taxで確定申告をする際、以下のような流れで暗号化から認証までが行われる。
- マイナンバーカードに格納されている秘密鍵で文書を暗号化する
- 文書と合わせて暗号化された文書と公開鍵・電子証明書を送付する
- 発信者(申請者)から送られた公開鍵で暗号化された文書を読める状態にする
- 文書と照合し、改ざんの有無を検知する
- 電子証明書の有効性を照会する
- 電子証明書の有効性を回答する
- 有効なら認証に成功する
もう一方の利用者証明用電子証明書はマイナポータルへのログインや、コンビニで公的な書類を発行する際に使う。その場合には秘密鍵と公開鍵が以下のような流れで利用される。
- 生成した乱数を送付する
- マイナンバーカードに格納されている秘密鍵で乱数を暗号化する
- 乱数とともに暗号文と公開鍵・電子証明書を送付する
- 発信者(マイナンバーカード利用者)から送付された公開鍵で暗号化された乱数を読める状態にする
- 乱数と照合して改ざんの有無を検知する
- 電子証明書の有効性を照会する
- 電子証明書の有効性を回答する
- 有効なら認証に成功する
券面の複製、偽造だけでは意味なし
今回の報道には「偽のIDチップが付いたカードが押収された」との内容も含まれているが、券面のみを複製または偽造しただけでは、マイナンバーカードのICチップを必要とする認証およびサービスは利用できない。無論、カードそのものが複製、偽造されたからといって、「ECサイトのIDとパスワードが漏えいしたのと同じ」などと騒ぐことではないはずだ。
関連記事
暗証番号なしの「マイナンバーカード」に意味はある? カギは「券面情報」
マイナンバーカードを保険証として利用する「マイナ保険証」を巡って、政府では暗証番号のないカードの発行を検討しているようです。「カードの趣旨を考えると暗証番号なしはどうなのか?」との声もありますが、リアルでの本人確認や保険証としての利用を考えると、一定のニーズはありそうです。マイナンバーカードと健康保険証の一体化、「よくある質問」をデジタル庁が公開
マイナンバーカードと健康保険証の一体化。これに関する「質問」をデジタル庁が公開。設問は1から7まであり、それに対する回答の他、マイナンバーカードの基本的な仕組みや、紛失時の問い合わせ先などが記載されている。スマホ用電子証明書、端末の初期化だけでは削除できず メルカリとヤフオク!「出品前に失効申請を」
フリマアプリの「メルカリ」とヤフー運営の「ヤフオク!」が「スマホ用電子証明書搭載サービス」の利用者に対して注意喚起を行っている。スマホ用電子証明書は端末の初期化だけでは削除できない。マイナポータルアプリからスマホ用電子証明書の失効申請を行う必要がある。マイナポイントが別人に付与される事案は計172件 ログアウト漏れや決済サービスIDの誤入力などが原因
総務省はマイナポイントが別人に付与された問題について、全自治体に調査を行った。その結果、131自治体/172件で誤った付与があったことを確認したという。同省が6月20日、公表した。マイナンバーカードの「スマホ電子証明書」を使う 注意すべきポイントは?
マイナンバー(個人番号)カードの付加サービスとして、Androidスマートフォンを対象とする「スマホ用電子証明書」の提供が始まりました。実際に使ってみた上で、改めて注意点をまとめてみました。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.