鈴木淳也のPay Attention
第212回
マイナンバーカードを用いた本人確認とiPhoneへの機能搭載
2024年5月10日 11:33
「SIMスワッピング」という新手の詐欺が話題になっている。
4月中旬に東京都議会議員の風間ゆたか氏がX(Twitter)で報告を行なったのを皮切りに、大阪府八尾市議会議員の松田憲幸氏が翌5月初旬にやはり電話番号を乗っ取られて高額の買い物を第三者によって勝手に行なわれたと被害報告している。
共通するのは愛知県名古屋市内にあるソフトバンクのショップで手続きが行なわれた点にある。
手口としては、本人確認に必要な情報が記載された身分証明書を偽造し、それをショップに持ち込む形で機種変更手続きを行ない、電話番号を犯人が手持ちの端末に移し替えるというもの。電話番号など携帯電話の契約情報が記録された「SIMカード」を本来の契約者とは別の人物が再発行の形で奪い取る手法から、前述の詐欺の名称が付けられている。
昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェックをしていると画像のようなメールが突然届き、これはおかしい、とパスワード再設定しようと...https://t.co/i7TOAbGPYrpic.twitter.com/z81IF167aP
— 風間ゆたか 東京都議会議員 立憲民主党 世田谷区選出 (@setagaya_k)April 17, 2024
複数の報道によれば、偽造された身分証明書は「マイナンバーカード」だとされており、今回のように議員といった著名人が狙われたのも、他の人々に比べて公にしている情報が多く、その点で個人情報を悪用しやすかったからだとみられている。
悪意のある第三者が一度電話番号を入手できれば、携帯電話番号で利用を行なうサービス、例えば今回のケースで利用されたPayPayの場合、パスワードをリセットするためのURL(リンク)がショートメッセージ(SMS)として電話番号を移し替えた端末に届くため、PayPayアカウントの乗っ取りも可能になり、そのまま換金性の高い買い物を行なって現金化が可能になるというわけだ。
ここで問題となるのが、“偽造マイナンバーカード”を携帯ショップが“本人確認書類”として通してしまった点だ。近年、マイナンバーカードについては比較的精巧な偽造品が出回るようになったことが知られており、そうした背景を把握しながらも事業者が対応しきれなかった。
ソフトバンク代表取締役社長執行役員兼CEOの宮川潤一氏は「現状ではマイナンバーカードの原本確認と本人確認の二重チェックを行なっているが、一部の店舗で運用が不十分でありご迷惑をおかけしてしまった。二重チェックの“再”徹底を現場に要請しており、同時にシステム面での対応も決め、順次店舗に展開していく。詳細は言えないが、システムの変更で対応できると考えている」と5月9日に開催された2023年度の通期決算説明会で述べ、関係者に陳謝している。
後で確認した点も含め、宮川氏の説明に補足すると、「原本確認」とは今回の場合は店舗に持参されたマイナンバーカードのことで、それと合わせて来店者が実際に契約者本人であるかを「本人確認」するところまでが「二重チェック」となる。
例えば今回のケースでいえば、SIMスワッピングを行なった犯人は、契約情報にある携帯端末とそれに紐付くSIMカードを所持していない。そのため、その点を確認すれば来店者が本来の契約者でない可能性が非常に高くなる。実際、ソフトバンクの機種変更手続きでは「ご利用中の携帯電話機+USIMカードが必要」と明記されており、本来必要な手順がスキップされてしまっていることになる。
これはほんの一例だが、犯罪を行なうものはこうした手続きの盲点を突いてくるため、その対策が常に求められるという状況だ。
「マイナンバーカードのICチップを確認」がなぜできないのか
今回の件を受け、実際に店舗で本人確認に関してどのような対策を行なっているのか、また4月から5月にかけて事件が報じられたことを受け、何らかの追加の対策を行なったのかについて、MNOの4キャリアに対して質問を送って確認してみた。
各社とも詳細は明かせないとの共通の返答だったが、本人確認を巡る問題は過去にも報告されており、今回の件いかんにかかわらず対策強化しているとする。特にNTTドコモの場合、下記のような対策を行なっており、また利用者に向けてフィッシング対策のFAQを公開している。
店頭では、引き続き回線契約者であるかの確認や、本人確認書類が偽造されていないかの確認の徹底に努めており、専用の機器や契約審査センターでのチェックによる対策を講じております。
専用機器を用いた対策をはじめ、過去の大規模な詐欺の犯罪行為にどのように携帯キャリアが対処してきたのかは小山安博氏の記事に詳しいが、なぜそれでも犯罪行為が防げないのだろうか?
今回の2つの事件を受け、「ICチップの偽造が非常に困難ならば、なぜそれを偽造書類の判定に使わないのか」という意見が多数見受けられた。同件について監督省庁である総務省に確認したところ「機器をすべての本人確認の場面への導入義務化は先方の負担の問題もあり困難」との回答だった。
また、今回の件を受けて何らかの対策強化を指示したのかについて確認すると「2022年末ごろに同様の被害が続けて起こったこともあり、それ以来、本人確認について対策を講じ続けてきた」ということで、今回が特別というわけではなく、当時から現在まで各社と共同で対策を行なってきたとの見解を示している。
実際、5月15日に開催される「不適正利用対策に関するワーキンググループ(第4回)」では、「本人確認」が大きなテーマとなっており、次回の5回目についても同様に「本人確認」の議論が交わされるという。
「簡単に偽造されるようではマイナンバーカードは意味がないのでは?」という意見も見られたのが今回の件だ。
いくら精巧に作ったとしても、偽造防止対策をすべてクリアしての偽造品を作るのは難しい。また、ICチップそのものの複製は現状でほぼ不可能といえる。ICチップのチェックが行なわれず、加えて確認作業が不十分だったことが招いた今回の件だが、“本人確認”においてはICチップのチェックさえ行なえば問題ないわけでもないのが難しいところだ。
例えば下記は楽天モバイルの店舗での本人確認に利用できる書類の一覧だが、このうちICチップを内蔵しているのは「(1)運転免許証」「(3)個人番号カード(マイナンバーカード)」「(10)在留カード」の3点のみだ。「(2)運転経歴証明書」に至ってはICチップがないだけでなく、そもそも有効期限が存在しない。また、運転免許証の暗証番号をちゃんと覚えてその場で入力できる人がどれだけいるだろうか?。
今回はたまたま“穴”としてマイナンバーカードが利用されただけで、悪用される可能性のある書類はほかにもあるのが実際だ。ゆえに、チェックにおけるフローを確立し、本人確認がきちんと行なわれる方が現状では重要といえる。
人手が入って“二重”のチェックが可能な店頭での対面手続きはまだいい方で、おそらく今後問題となるのはオンラインでの手続き、いわゆる「eKYC」と呼ばれる本人確認の手法だ。
オンラインですべてが完結してしまうため、対面の場合と比較しても悪用のハードルが低くなりがちだ。現状では運転免許証などの券面を厚みを含めて撮影し、撮影者本人の顔写真を動画込みで送ることで本人確認を行なう手法が一般的だが、2023年6月の閣議決定で発表されたデジタル重点計画の中で廃止がうたわれており、郵便を使った手法を除けば、今後はICチップの情報や、その中に記録されている電子証明書を使った「公的個人認証」の方式(「ワ方式」)へと収れんされていくことになる。
総務省の説明によれば、令和8年度(2026年度)での導入が目処になるとのことで、オンラインでの本人確認はより厳格化の方向に向かっていく。
一方で、前項でソフトバンクの宮川氏が「オンラインにおける本人確認の甘さ」に言及してきたように、現状で携帯キャリアの契約時などの場面で、公的個人認証サービス(ワ方式)を用いたより厳格なeKYCが実施されているケースはまだなく、対応についてはこれからといった状況だ。ただ、NTTドコモでは一部サービスにおいて「ワ方式」などに準拠した本人確認サービスを提供しており、今後各社も順次対応を進めていくことになると思われる。
ワ方式:d払い、dアカウント、+メッセージ、dスマートバンク(※)、ドコモスポーツくじ(※)へ方式:
d払い、dアカウント、dスマートバンク(※)、ドコモスポーツくじ(※)
※dスマートバンクやドコモスポーツくじはdアカウント(dポイントクラブ会員)の本人確認に依拠
つまり、オンラインにおける本人確認は今後ICチップ利用が前提となっていく。運転免許証は取得しない層もおり、発行枚数ではすでにマイナンバーカードに抜かれていること、在留カードは外国人向けだが、外国人であっても日本に住民票があればマイナンバーカードが発行されるため、大多数のニーズはマイナンバーカードだけでカバーできる。
そのため、犯罪による収益の移転防止に関する法律、いわゆる「犯収法」などの法律で規定される本人確認書類でオンライン上での本人確認を行なう場合など、各種のサービスはマイナンバーカード利用を前提にサービスが構築される可能性が高い。
また、今後iPhoneへのマイナンバーカード搭載が進むことで、対象となるスマートフォンを所持するユーザーが一気に増えるため、「スマートフォンに身分証明書を入れて持ち歩き、必要な場面ではリアルでもオンラインでもスマートフォン経由で提示する」ということが一般的になるはずだ。今後はさらに健康保険証や運転免許証をはじめとする、各種の身分証がマイナンバーカードに寄ってくることを考えれば、その傾向はより強くなるだろう。
ここで、スマートフォンへの身分証明書搭載で1つ鍵となる「mdoc/mDL」の話題に触れておきたい。
mdoc/mDLとiPhoneへのマイナンバーカード搭載
「ISO/IEC 18013-5(mdoc/mDL)」は「mobile Driver's License」、つまりモバイル運転免許証の運用を規定するための標準方式であり、相互運用性を重視した仕組みとなる。これを含む、モバイルeIDのモバイル端末への搭載を規定する国際標準が「ISO/IEC 23220」で、両者がセットで運用されることが前提だ。
ISO/IEC 18013-5の特徴としては、イシュア(Issuer)と呼ばれる証明書(VC:Verificable Credentials)の発行主体でなくてもVCの検証が行なえること、Bluetoothなどを含むさまざまな通信手段を用いて安全にデータのやり取りが可能なこと、オフラインでもVCの検証が可能なことなどが挙げられる。DIW(Digital Identity Wallet)の概念に沿って必要な情報のみの提供、例えば生年月日ではなく「成人に達しているか」といった情報に絞って提供することが可能な点も特徴で、スマートフォンのデジタルウォレット上で身分証明書の個人情報を管理できる点で興味深い。
下図は概略だが、VCの発行主体である「Issuing Authority」と、これに対してmDLを受け取る「mDL Holder」がおり、この検証を行なう「mDL Verifier」の三角関係で成り立っている。「mDL Verifier」は検証を行なうためのmDLを「Issuing Authority」から受け取り、「mDL Reader」というデバイスを用いて検証する。途中経路でのなりすましや盗聴、さらに複製が困難なこと、そして前述のようにオフラインでの検証が可能なため、「Issuing Authority」に余計な負荷をかけない点も特徴といえる。
欧州ではこれをベースにEUDIWの実装が検討されていたり、米国では一部州ですでにmDLの運用がスタートしており、例えば空港の荷物検査場で本人確認書類として提示できたりと、運用が始まりつつある。Appleは2021年に開催された開発者会議「WWDC」において、iOS 15でのmDL対応を発表し、すでに4州の運転免許証または州発行のIDが登録できるようになっている。これはGoogle Walletなどでも同様で、モバイルWalletでのID格納の実質的な世界標準となりつつある。
この話題で重要なのは、日本国内において「ISO/IEC 18013-5(mdoc/mDL)」がスマートフォンへのマイナンバーカード搭載、特に運転免許証などの他の身分証明書を含むデータを搭載する場合の標準フォーマットになっていることにある。加えて、現在開発中とされているiPhone向けのマイナンバーカード搭載が、このmDL対応を前提にしていることだ。
前述のように米国でのiPhoneはIDをWalletに格納する際にmDLのフォーマットを用いており、日本におけるID(マイナンバーカード)搭載もまたmDLに準拠することを意味する。デジタル庁がスマートフォンへのマイナンバーカード機能搭載において、mdocを交えた実証実験を発表しているが、JPKIによる電子証明書とは別に、運転免許証を含む各種証明書の格納とやり取りにmDLのフォーマットを用いて両者を混在させている。
もう1つ、このデジタル庁の資料には工程表が記載されており、システム改修とテスト運用の終了が今年9月で、10月以降に後工程に入る予定だ。この資料から想定される動きを逆に読み取ると、iPhoneへのマイナンバーカード機能搭載はmdoc対応が前提であることを考えれば、今年9月までは機能がリリースされることはなく、10月以降になると推定される。
それを踏まえてスケジュールを改めて見ると、毎年iPhoneの新製品が発表されるのが9月であり、予定に遅れがなければ、おそらくはこのタイミングでiPhoneへのマイナンバーカード搭載が発表され、10月にiOSのアップデートとともに機能がリリースされるのではないだろうか。まだmdoc対応の部分で調査中のところがあり、本稿では詳しく触れなかったが、追ってフォローしていきたいと思う。