2024年5月、偽造されたマイナンバーカードを使って他人のスマホの電話番号を乗っ取り、各種アプリのアカウントに侵入して、コード決済やECで高額な決済をするという詐欺事件が明らかになった。
そもそもマイナンバーカードに保存されたデータはICチップに保管されていて、容易に偽造できないことが売りだったはずだが、なぜ、このようなことが起きたのだろうか。
実は今から遡ること半世紀ほど前の1970年代、既に類似の犯罪が起きていたのである。
>さる暴力団関係に属するAなる男は、500万円ちかい金を銀行に預け、子分のB、
>C,D……という連中を使って3ヶ月ほどの間にほとんど全額引き出した。
>その間、Aは警察の拘置所に別件で拘置されていたのである。
>当然、警察ではAの所持品検査をして、当銀行のキャッシュカードを持っていたこと
>が確認されていた。
[中略]
>Aは、留置所を出た足で銀行におもむき、キャッシュ・ディスペンサーを利用
>する。もちろん、コンピューターは残金額ゼロを回答する。
>Aは怒った。
>「なんでやねん! オレはこの三ヶ月、警察の厄介になっとったんじゃ!
> 嘘やと思うなら調べてみい。このカードはな、その間、サツの保管ケースで
> 眠っとるんやぞ! それとも何か? サツの旦那が、これを使ったとでもぬ
> かすんか!
> 支店長を出せ! わいらみたいな雑魚ではわからん!」
(引用:エニグマ4号(1977年六月号)ユニバース出版社発行 コンピュータ犯罪 松木修平)
雑誌記事ではその後のことが書かれていないが、おそらく、銀行側がAに謝罪して少なくとも預け入れ金額相当の賠償金を支払ったのではないかと考えられる。もしAが逮捕されたのであれば、その後の顛末まで書かれるだろうが、その場合、ニセのキャッシュカードに気付かなかったという警察の失態が追及されるからである。
では、なぜ、警察はキャッシュカードが偽造だと気が付かなかったのだろうか?
実は、当時のキャッシュカードはアナログ式の磁気テープ記録であり、しかも、厚紙製で表に銀行名と口座番号が書かれ、名前を記入する方式のため、外見上の偽造は容易だったのである。
しかし、より重要なことは、キャッシュカードは本人がカードの正当な所有者であることを証明するためのものであり、その手段として持ち主の暗証番号とカードに記録された暗証番号が一致するかどうかにかかっている、ということである。
つまりカードに持ち主の名前が書かれているからといって、持ち主がカードの正当な所有者かどうかは判らないのである。
しかし、人間にはキャッシュカードに記録された磁気パターンを見る能力は備わっていない。従って、外見が本物と同一であれば、本物であるという心理的な錯覚により、Aが所持していたニセのキャッシュカードを本物として記録し、保管していたのである。
キャッシュカード普及期には、銀行のソフトウェア管理者がカードの情報を書き換えて預金額以上のお金を引き出すといったさまざまな犯罪が起こった。しかし、この例にように、何もコンピュータシステムに精通などしていなくても、接点の人間部分を攻略するだけで容易にシステムの防御を突破できるのである。
さて、マイナンバーカードである。国民ひとりひとりにマイナンバーカードを持たせて情報管理をするためには、持ち主と所有者が同一人物かということを確認する認証システムの普及が必要不可欠である。ところがマイナンバーカードを管轄するデジタル庁ではせっかくマイナンバーカードのICチップに所有者の顔写真を記録させておきながら、カードの表面に顔写真を張り付けるという致命的な失敗を犯したのである。
人間の心理として、カードリーダーに通してICチップの情報を確認するより、カードの顔写真を見るだけで済むのなら、楽な方に流れるのが自然ではないだろうか。
その結果、マイナンバーカードは記載された顔写真だけで認証するということがまかり通るようになったのである。
マイナンバーカードは他人のなりすましには無力であった。マイナカードシステムの設計者は過去のカード犯罪の事例などを調べ上げ、それらの犯罪事例に対して万全の対策を施したのであろうか。少なくともこの事件を見る限り、とてもそのようには見えない。
なお、詐欺事件発覚後、虹色に見える特殊なインクを使っているので、よく見れば判るはず、とコメントした大臣がいたが、いずれ特殊なテープを張り付けてそっくりに見せる偽造カードが出てくるのは時間の問題であろう。
現場の人間が特殊なインクを確認しようとカードを見ている時、「この店では客を犯罪者扱いするのか! 不愉快だから帰る!」などと客が言えば、特殊インクの確認などおざなりで済ませてしまうのが人間の心理ではないか。
もし、マイナンバーカードによってデジタル化を推進したいのであれば、外観識別用の名前さえ書いてあればよく、詳細情報は内部のICチップが記録した情報を読み取る方式にしないと、意味がない。しかも、ご丁寧なことに現行のマイナカードの裏面にはしっかり個人識別番号まで明確に視認できる形で記載されているのである。マイナンバーカードの普及とICカードの読み取り機の普及は車の両輪であり、それをやらなかった、あるいはそのことに思い至らなかったことが問題であった。
この問題の対策を受けて、デジタル庁ではスマホのアプリで容易にICチップの情報を読み取るようにするそうだが、マイナンバーカードの専用読み取り機を普及させないと犯罪はなくならないのではないだろうか。ちなみであるが、マイナンバーカード専用読み取り機が第三者が勝手に分解できない仕組みが必須であろう。
さらに、マイナンバーカード専用読み取り機を使用する場合には、読み取る人間のマイナンバーカードを入れて、誰が情報を読み取ったかが判るようにしておかなければ、情報の二次漏洩の問題を防げない。
さらに、現行の認証システムで使われる暗証番号は、本人が忘れた場合など意味がないので、ICチップには顔認証情報、虹彩、指紋といった複数の個人生体データを記録しておくのがより安全である。
あるいは、もしかしてデジタル庁はわざと不完全なマイナンバーカードを普及させて、その改定対策版を出すことで、業界の成長を図っているのかもしれない。
