日刊ゲンダイの「マイナンバーカードから4桁の暗証番号を読み取るのはさほど難しくない」は根拠不明
日刊ゲンダイが7月18日付の記事でIT関係者の話として「機械を使ってマイナカード(マイナンバーカードの保険証)から4桁の暗証番号を読み取るのはさほど難しくない」と報じましたが、この話は根拠不明です。
マイナカードから4桁の暗証番号を読み取れる?
記事は「暗証番号が分かればマイナ保険証を使ってなりすまし受診ができる(から現行の紙の保険証よりも、なりすまし受診を誘発する)」ことを訴えたもので、そのなかでIT関係者の話として「機械を使ってマイナカードから4桁の暗証番号を読み取るのはさほど難しくない」と紹介していました。
しかし、本当にそんなことが可能なのでしょうか?
マイナンバーカードの発行やマイナンバー制度の各種システムの整備・運用を行なっている法人「地方公共団体情報システム機構」に問い合わせてみました。
暗証番号は暗号化されてICチップに保存されている
まず、そもそもマイナンバーカードに暗証番号が保存されているか伺ったところ、署名用電子証明書や利用者証明用電子証明書の暗証番号についてはICチップに保存されているとのことでした。
ただし、暗証番号は暗号化されているため、直接「4桁の暗証番号を読み取る」ことはできないとのことです。
ICチップ内の情報を不正に読み出そうとした場合、データが消去される
次にそのような暗号化された情報を読み出そうとした場合ですが、自動的に記録情報を消去する機能などの対抗措置が施されているとのことでした。
こちらは総務省が解説ページ(※PDF)を用意しています。
それによるとICチップを取り出して電気的、または物理的に情報を不正に読み出そうとすると次のような動きをするとのことです。
- 光が当たるとメモリ内容消去
- メモリ回路素子が表面から観察できない
- 電圧異常、クロック異常等の検知で動作停止
- メモリ素子の物理配置ランダム化&暗号化により、解読不可
また、ICチップの電力消費量や処理時間などを測定・解析して情報を推測しようとする行為に対しても、「消費電力、処理時間をかくはんすることで、読み取った信号の統計的な解析を困難にしている」とのことです。
このため「4桁の暗証番号を読み取るのはさほど難しくない」どころか、読み取ることはかなり難しいと言えます。
3回連続の誤入力でロックされるため、パスワードの総当たりは不可能
最後にパスワード総当りについてですが、こちらは利用者証明用電子証明書の暗証番号の場合は連続で3回、署名用電子証明書の暗証番号の場合は連続で5回間違えると、ロックがかかってマイナンバーカードが使えなくなる仕様となっています。
つまり、総当たりによる解析も不可能です。
ショルダーハッキングも顔認証で回避可能
上記で説明したように、機械を使ってマイナンバーカードから暗証番号を読み取るのはかなり難しいと言えます。
日刊ゲンダイの記事で登場したIT関係者がどのような手法を使うのか全く説明していないので分かりませんが、ショルダーハッキングであれば可能かもしれないと考えつきました。
ショルダーハッキングとはパスワードを入力しているところを後ろから覗き見る手法のことで、病院の顔認証付きカードリーダーの画面が映る場所に隠しカメラを設置すれば不可能ではないかもしれません。
しかし、この場合はそもそも暗証番号の入力ではなく、「顔認証付きカードリーダー」の名前にあるように顔認証を使えば暗証番号の入力が不要になるためショルダーハッキングを回避できます。
「機械を使ってマイナカードから4桁の暗証番号を読み取るのはさほど難しくない」とは言えない
調べた結果、「機械を使ってマイナカードから4桁の暗証番号を読み取るのはさほど難しくない」とは言えません。
ただ、その手法が説明されていないため「できない」とも断定できず、今回のファクトチェックではFIJのレーティング基準に従い根拠不明としました。
