「自宅で契約する時は?」SIMスワップ詐欺増加でマイナカードが必須になる「携帯電話契約」最新事情
政府がマイナカードを携帯電話の本人確認に必須とする方針について
SIMスワップ詐欺の問題点とその被害について
ICチップを内蔵する運転免許証を用いた本人確認の仕組みやセキュリティについて
いまや手放せない存在のスマートフォン。携帯電話の契約にはマイナンバーカード(マイナカード)が原則、必須になる。政府は「国民を詐欺から守るための総合対策」を6月にまとめ、今年度中の実施を目指している。
政府の狙いは、健康保険証や運転免許証など個人情報管理を一元化したマイナカードを普及させて、セキュリティも高めること。
一方、健康保険証の代わりにマイナカードを使おうとして、医療機関側の読み取り機の不具合で読み取れず、健康保険証に頼らざるを得なかったなどのトラブルも報道されている。マイナカードについては、個人情報の一元管理への不安もある。大丈夫なのだろうか。
冒頭の本人確認対策について、松本剛明総務相は6月の会見で「偽造した本人確認書類を用いて、携帯電話を不正に契約し、詐欺、不正決済、不正送金といった犯罪に悪用する事案が相次いでいる」と指摘し、その対策と強調した。
◆「SIMスワップ詐欺」が横行中……海外では数億円単位の被害も!
携帯電話の端末には通常、通話や通信を可能にするSIMカードを差し込む。NTTドコモやソフトバンク、auなどの携帯電話会社が発行し、電話番号がついたSIMがないと、通話ができない。
携帯電話の番号を乗っ取る『SIMスワップ詐欺』では、犯人が本人になりすまし、携帯電話会社の店舗で携帯電話を失くしたなどとうそをつき、SIMを再発行させるのが一般的だ。店舗での本人確認には、本人の名前や住所などの個人情報を入手して偽造した運転免許証などの身分証明書が使われている。
犯人が、用意した携帯電話の端末に再発行のSIMを差し込むと、本人の電話番号で通話や通信が可能となる。このSIMスワップ詐欺により、銀行口座の預金を盗まれるなどの被害が報道されている。
大阪府内の市会議員は今年5月、携帯電話の電波が急につながらなくなり、携帯電話会社に問い合わせると、本人になりすました犯人が愛知県内の店舗で偽造マイナカードを提示して機種変更した可能性があるとわかった。その後、本人のクレジットカードを通じて、200万円を超えるブランド時計が不正に購入されるなどの被害が発覚した。被害者本人は啓蒙のために立ち上げた自身のサイトで、こうした被害実態を紹介して「犯罪に要注意」と注意を呼びかけている。
大阪府の市会議員が被害にあった事例のほかにも、SIMスワップ詐欺の被害はいくつも報道されており、海外では被害額が数億円単位という事例も報じられている。
◆ICチップを内蔵する運転免許証でもOK?
こうしたSIMスワップ詐欺を防ぐため、政府の対策は携帯電話の契約で本人確認を原則、マイナカードに一本化し、『内蔵ICチップ情報の読み取り』を義務づける。携帯電話の契約はネット上で可能だが、非対面の本人確認は「マイナカード」のみ。店舗での対面対応については「運転免許証でもマイナンバーカードでもICチップの読み取りを義務づけする方針です」(デジタル庁広報担当者)として、ICチップを内蔵する運転免許証などでも可能とする。
新たな本人確認方法について、「従来型の健康保険証などに比べるとずっと安全な仕組みになっています」と話すのは、サイバーセキュリティ対策の関連サービスを展開するトライコーダ(東京都中央区)の上野宣代表。「ICチップ自体の偽造は非常に困難です。公的個人認証の電子証明書という仕組みが入っているためです」と言う。
公的個人認証サービスは、ネット上の申請や届出など行政手続きに際し、他人のなりすましやデータ改ざんを防ぐ本人確認の手段。『電子証明書』と呼ばれるデータを、マイナカードなどのICチップに記録して利用。公開鍵暗号方式は公的個人認証サービスが採用するもので、『秘密鍵』と『公開鍵』がペアとなり、片方の鍵で暗号化されたものはもう一方の鍵でしか復号できない。
◆カード自体に情報が載っているわけではないが……
マイナカードのセキュリティについて、上野さんは「カード券面に記載されている情報以外にはその電子証明書しかないので、カード自体に情報が載っているわけではありません」と言う。他人のマイナカードを盗んでもパスワードが必要になり、「簡単に悪用することはできないようになっています」と話す。
マイナカードは内臓ICチップも含めると偽造が難しいとしても、マイナカードに個人情報が一元化され、健康保険証や運転免許証などとして一元利用されると、持ち歩かざるを得なくなる。うっかりマイナカードを落とし、悪意のある人が拾って悪用される心配はないのだろうか。
そこで鍵を握るのはパスワードだ。悪意のある人がマイナカードを拾い、パスワードを見破られると、個人情報が筒抜けになる。
「パスワードは一定回数間違えるとロックされる仕組みになっており、他人のパスワードを割り出すことは困難です。マイナンバーカードを紛失した場合は、コールセンターに電話いただくことで、機能を一時停止することが可能です」(デジタル庁広報担当者)
◆結局、重要なのは「パスワード」!?
パスワードを見破られないためにも、「パスワードを使いまわさないように」と注意を喚起するのは、情報漏えいの調査サービス事業を展開するサイバーリサーチ(東京都杉並区)の藤田有悟代表。被害を受ける人によくあるパスワードとして「名前や誕生日などを使ったパターンがいくつかある」と話し、さまざまなシステムにログインする際のパスワードが人によって、すべて同じケースがあるという。
さらに、国がマイナンバーで管理する個人情報そのものが、漏えいするリスクはないのだろうか。藤田さんは普段、ネット空間を監視しているそうだが、ダークウェブ(非合法の情報などが集まる闇サイトの一種)にはさまざまな個人や企業の情報などが流出しているという。
米国では、政府機関が保有する個人情報が漏えいして事件になっている。米国防省から昨年、機密文書が多数流失し、空軍州兵が権限なく持ち出していたとして逮捕された。米連邦政府人事管理局は’15年に2150万人分の個人情報が不正アクセスを受けていたと公表した。米人口の半数となる約1億4300万人分の社会保障番号(SSN)が漏えいしていた事件では、大手信用情報会社が’17年に流出した可能性があると発表し、システムの脆弱性をハッキングされたと説明している。
◆疑問点を「デジタル庁」に問い合わせてみると……
日本でも政府が管理する個人情報が流出する可能性はゼロでない。特に、マイナンバーで個人情報が一元管理されると、医療情報などが流出した場合大変だ。政府機関そのものから流出する可能性は小さいかもしれないが、藤田さんによると、攻撃者は管理の手薄なサイトから侵入しようと試みており、担当者にメールを送ってウイルスに感染させて情報を流出させるなど、攻撃を仕掛けてくる可能性がある。
政府機関そのものでなくても、業務の委託先などからの流出もありえる。医療情報は、医療機関のシステムを攻撃して流出させることもある。フィンランドの医療機関では’20年に約5万人分の診療情報がハッキングを受けている。
携帯電話を契約する場合、マイナカードの内臓ICチップ情報を読み取らせるのに、店舗なら読み取り機器があるだろう。しかし、ネット上で契約する場合は、どのように読み取るのだろうか。なりすましは、防げるのだろうか……。マイナンバーカードや運転免許証がない人はどうなるのか?
そこで、デジタル庁に問い合わせてみると、
「携帯電話をネット上で契約する場合、顧客申し込みの画面の中で、申し込みされる方にわかりやすくご案内することが通例です」(広報担当者)
と答えるのみで、具体的な方法は説明してくれなかった。
国民が手軽に、安心して利用できるようになるまで、まだしばらく時間がかかりそうだ。
取材・文:浅井秀樹
