未だにマイナンバーカードによるSIMスワップ(SIMの再発行による携帯電話番号の第三者による乗っ取り)帽子について考えています。総務省によるPDF https://www.soumu.go.jp/main_content/000528384.pdf を眺めると、民間サービスの例として「携帯電話購入に必要な本人確認時にカード利用(電子署名)」する応用としてSIMの再発行時の第三者によるなりすましの抑制が上げられるのかもしれない。んだけど、利点が「申込書の自動作成が可能となり、顧客の記載ミス防止や対応時間短縮」となっていて、それだけ?って。
なお、上記の例ではたぶんマイナンバーカードに格納されている署名用電子証明書が使われることになるのだろう。署名の対象とする文書が何なのかはっきりはしないのだけれど、デジタル署名がおこなれるのならば、私有鍵のコピーは難しいはずなので、公的個人認証の強度はマイナンバーカードの物理的な盗難と暗証番号の窃取の困難さで制限されることになりそう。SIMの再発行時の本人確認に署名用電子証明書を利用せず券面に記録されている情報のみを検証する場合には、公開情報が充分あれば適当な暗証番号でマイナンバーカードを偽造することができそう。
マイナンバーカードの語彙では電子証明書に私有鍵(秘密鍵)が含まれるみたいなのでちょっと混乱するね。上記PDFより、
- 署名用電子証明書には、
- 基本4情報(氏名、生年月日、性別、住所)、
- 発行番号、発行年月日、有効期間、発行者、
- 署名用秘密鍵が、
- 利用者証明用電子証明書には、
- 発行番号、発行年月日、有効期間、発行者、
- 利用者証明用秘密鍵が、
含まれるみたい。
気になったのでちょいと調べてみた。
マイナンバーカードには署名用電子証明書と利用者証明用電子証明書が格納されている。PDF7ページ(ページ番号6)には秘密鍵と記載があるので、証明書(たぶん公開鍵とどこかの認証期間によるデジタル署名)だけではなくて鍵対が2対格納されてるんだろう。
このPDFには「暗証番号(4桁の数字)」や「セキュリティコード4桁」も登場するけれど、私有鍵(デジタル署名や復号)の利用に関係するものかどうかははっきりしない。
(PDF) マイナンバーカードと公的個人認証制度の概要について
https://www.soumu.go.jp/main_content/000528384.pdf
GNU social JP is a social network, courtesy of GNU social JP管理人. It runs on GNU social, version 2.0.2-dev, available under the GNU Affero General Public License.
All GNU social JP content and data are available under the Creative Commons Attribution 3.0 license.