偽造マイナンバーカード・偽造運転免許証を使った、「SIMスワップ詐欺」の報道があいついでいます。
市議の方、突然外出中に携帯の電波が切れた。携帯ショップに行ったら「機種変更されてますよ」と言われた。本人をかたる犯人が、偽造マイナンバーカードを提示して、機種変更の手続きを不正に行ったもよう。
PayPayのオートチャージを悪用された。クレジットカードを止めたが、Yahoo!ショッピングのショッピングローンを組まれ、225万円のロレックスなどを勝手に注文されていた。
「偽造マイナカードで携帯機種変→225万円のロレックス買われた!「被害は雪だるま式に」市議が警鐘鳴らす」smartFLASH 2024/5/6
神戸市の男性。電話をかけたら音がしなくて、見たらアンテナが立っていなかった。故障だと思って携帯ショップに行ったら「解約になっています」と言われた。
偽の免許証を持った男が、「ナンバーポータビリティで乗り換えをしたい」と。MNP番号を発行し、楽天モバイルに契約したようだ。
犯人は乗っ取ったスマホを使って、銀行アプリを経由して合計1000万円を盗んだ。
「スマホつながらない…“乗っ取られた”危険 新手の『SIMスワップ詐欺』で1千万被害も 偽の身分証で携帯ショップもだましSIMカード再発行 ネットバンク不正送金の手口とは」関西テレビNEWS 2023/5/20
「なりすまし対策に有効」として、マイナ保険証の有効性がさかんに宣伝されますが、とんだところで「なりすまし詐欺」が多発しており、大変大きな問題だと思います。
ICチップの内容が簡単に読み取れれば、もしかしたら、偽造マイナンバーカード・偽造免許証を、見破れないでしょうか?
そう思って確認していると、
実は、誰でもスマホにインストールして、
ICチップの内容を簡単に確認できるアプリが
存在していることが分かりました。
記事にまとめてみようと思います。
見ただけでは本物と区別がつかない、偽造マイナカード・免許証
これら「SIMスワップ」の犯行は、いずれも、見ただけでは本物と区別がつかない、精巧なマイナンバーカードや、運転免許証を提示して行われています。
デジタル庁では「カード右上のマイナちゃんが、角度によって見え方が変わる」ことで本物を見分けてください、と言っているようですが
過去に他のカードで同様の「ホログラム」まで偽造された例もあります。せっかく電子証明書まで入っているマイナンバーカードなのに、こんなアナログな見分け方では心もとないですね。
偽造身分証を作られてしまうと、自分では被害をどうやっても防げないということになります。
もちろん、身分証に書かれている住所・生年月日などが、実際と異なっていれば、身分証相違として契約を断られることになります。ですから、氏名・住所・生年月日・性別の「基本4情報」を、犯罪者に渡さない、ということが重要になります。
個人でできる対策・「メールのリンクは本物・偽物を問わず決して開かない」
犯人はどうやって、氏名・住所・生年月日・性別の情報を手に入れているのか。最も多いと言われているのが「フィッシング詐欺」です。
IPA 情報処理推進機構が掲載している、フィッシング詐欺のサンプル画面を見てみます。
このように、正規のサービスを偽って、偽物のリンクを送り付け、タップすると、偽物のログイン画面や、クレジットカード、個人情報の入力画面が開きます。
偽物と見破れず、情報を入力してしまうと、入力した情報がすべて犯罪者の手に渡るというわけです。その情報をもとに、偽造マイナンバーカードや免許証が作成され、犯罪に利用されるのです。
そして、ここが当店が声を大にして申し上げたいことですが、偽物を見破ることは非常に困難です。
私どもは、開いたニセ画面のURLなどをもとに、見破れる場合も多いですが、詳しい知識がない場合には、見た目には本当に精巧で、見分けはつきません。
ですから、当店おすすめの対策は
「偽の画面に注意しよう」ではなく、
メールで送ってきたリンクは、本物・偽物を問わず絶対にタップして開かない、ということです。
例えばAmazonの場合では、
メールからリンクを開くのではなく、自分でいつも使っているAmazonのアプリやブックマークを開くようにするとよいです。
何か問題があれば、その本物の画面に通知や警告が表示されるはずです。
何も出なければ、届いたメールは偽物だったということです。
ICチップを読み取れば、本物と偽物を見分けられる
実は、ICチップを偽造することは、券面を精巧に偽造するのに比べると、きわめて困難だと思われます。実際に、今出回っている偽造マイナンバーカードには、ICチップは装着されていません。
「かつては、偽造の在留カードで銀行口座を開設することができたが、ここ数年で、必ずICチップの読み取り確認をするようになった。ICチップまでは偽造できないが、マイナンバーカードを身分証として提示する場合には、内蔵されているICチップの読み取りはされない。目視で名前や住所を確認されるだけだ。偽造の運転免許証を使う方法もあるが、手触りなどで偽物だと気付かれることもある。その点、マイナンバーカードなら日本人もまだ見慣れていないから、そうそうバレることはない」
「「こんなもの3日あればすぐ作れるよ」激増する”中国人マイナンバーカード偽造団”を直撃取材!」FRIDAYデジタル 2024/2/6
つまり、マイナンバーカードや免許証でもICチップの読み取り確認が行えるならば、もしかしたら偽造身分証による犯罪被害を、窓口で止められる日がくるのではないでしょうか?
政府がマイナンバーカードのICチップを読み取るアプリを提供する方向
実は、政府の「次期個人番号タスクフォース」では、ICチップを読み取れるアプリを無償提供し、カードの提示を受ける側の事業者が確実に本物と確認できるようにしよう、という議論がなされています。
この中の「資料2:次期個人番号カードタスクフォース最終とりまとめ(案)(PDF/286KB)」に、このような記載があります。
イメージとしては、
- 現在: 窓口でマイナンバーカードや免許証を提示すると、店員さんが目で見て顔写真を確認し、本人とみとめる。(免許証の場合はコピーをとることも多い)
- 将来: 窓口でマイナンバーカードや免許証を提示すると、店頭の端末に暗証番号を入力するように言われ、さらに端末にカードを押し当てる。画面に正しく情報が表示されると、本物と判断され、さらに顔写真で本人と確認される
※ただし、ここに書かれた内容は、「電子証明書の確認」ではなく、「券面記載事項の確認」であるため、マイナンバーカード本来の厳密な認証には残念ながら及ばないと思われます。
「マイナポータルアプリ」が店頭での確認に使えない理由とは
一部の記事で、「マイナンバーカードの真偽確認は、マイナポータルアプリを使えばわかる」といった記載もみられます。
しかし、このアプリはあくまで、マイナンバーカードの所持者本人が、自分の情報を確認したり、手続きをするためのアプリです。
もし、店頭のスマホでこのアプリをインストールし、窓口にくる人のマイナンバーカードを読み取ったとしたらどうなるか。
お店のスマホに、一時的ではあれマイナンバーカードでログインし、医療情報の確認や、行政手続きができる状態にしてしまうことを意味します。
これでは、他人のマイナンバーカードでログインした状態で誤って操作してしまったり、不正に利用される道を開いてしまうことになります。
この方法が店頭で使われないおもな理由は、これではないかと推測しています。
実はもう存在する、ICチップを手軽に読み取れるアプリ
そんなことを考えながら確認を進めていくと、実は今すでに、多くの方がスマホにインストールして使用することができる、ICチップ読み取りアプリが存在していることに気づきました。
「IDリーダー」アプリで、簡単にICチップの情報を読み取れる
「IDリーダー」アプリです。下記からインストールできます。
ICカードリーダを接続したパソコンでも読み取ることができます。
実際に試しました。
「IDリーダー」アプリでマイナンバーカードの読み取り(券面表示事項)
先に4ケタの暗証番号を入力し、マイナンバーカードをスマホに押し当ててしばらくすると、マイナンバーカードの本物と同じ内容のイメージが画面に出力されました。
「IDリーダー」アプリでマイナンバーカードの読み取り(電子証明書)
ほぼ同じ手順で、マイナンバーカードの電子証明書の概要を表示することができました。
ここで見られるのは、電子証明書そのものの内容であって、電子証明書の検証ではありません。すでに無効な証明書であっても、表示内容は変わらないと思われます。ですが、ともかくも、電子証明書がカードにインストールされていることは証明できました。
「IDリーダー」アプリで運転免許証のICチップを読み取る
運転免許証のICチップも、同じアプリで、暗証番号を2つ入力することで、読み取ることができました。
「IDリーダー」アプリは安全なのか?
「IDリーダー」アプリは、OSSTech株式会社が提供しているアプリです。
アプリのソースコードは公開されており、OSに要求する権限は特になく、開発元が情報収集をすることはないと公式に宣明されていますので、使用することによるプライバシーリスクはないと判断できます。
電子証明書の有効性確認まで可能な「JPKI利用者ソフト」
マイナンバーのシステムを運用する
「地方公共団体情報システム機構」が出している
「JPKI利用者ソフト」
というアプリを使うことで、マイナンバーカードのICチップに記録されている電子証明書の存在だけでなく、有効性まで確認できます。
マイナンバーカードの利用者証明用電子証明書を表示してみる
「JPKI利用者ソフト」で、マイナンバーカードの「利用者証明用電子証明書」を表示してみたようすです。
電子証明書しか表示できませんので、氏名・住所などの基本4情報は表示されません。
カード表面の氏名・住所などと照合することができる、さきほどの「IDリーダー」アプリと比べると、やや分かりにくいところはあります。
ただ、この表示が成功したら、「このマイナンバーカードにはたしかにICチップがついており、電子証明書が格納されている」ということを確認できたといえます。カードが本物か偽物かの確認という意味では、これでも十分かもしれません。
ただ、人間の目でこれを見ても、証明書が有効かどうかは分かりません。次の手順で「証明書の有効性を確認する」ことにより、ひじょうに厳密な確認をおこなうことができます。
電子証明書の有効性を確認する=正規のマイナンバーカードだという厳密な確認がとれる
続いて、下記のようにして「電子証明書の有効性」を確認できます。
とてもあっさりとした「有効」という表示ですが、これは重要な意味をもちます。
地方公共団体情報システム機構(J-LIS)に、電子証明書の照会を行い、現在有効な証明書であるという応答を受け取った、ということです。つまり、このマイナンバーカードは、現時点で有効な本物のマイナンバーカードである、という強い証明が得られたことになります。
一見すると、氏名や住所が見られる「IDリーダー」アプリの方が、確認としては分かりやすいのですが、実は、この「電子証明書の有効性」確認が、最も強い「本物である確認」だと思います。
ICチップを読み取れば、チップがない偽物のカードは見分けられる
こうして、すでに今手に入るアプリを使って、簡単に、マイナンバーカードやICチップ付運転免許証の真正性を確認できることが分かりました。
現在出回っている偽造カードは、ICチップがついていないと思われます。また、見た目ICチップがついていても、まったく違うものがついています。
ですから、
「IDリーダー」「JPKI利用者ソフト」のようなアプリで、
ICチップを読み取りさえすれば、
偽造身分証は見分けることができる
と考えられます。
すぐに店頭で「IDリーダー」「JPKI利用者ソフト」を使おう、とならない理由
難を言えば、いまご覧になったように、「IDリーダー」アプリでは、ICチップの内容を表示したスマホ画面を、簡単にスクリーンショットに取ることができました。この点が、店頭で使用するにあたって問題になるかもしれません。
マイナンバーカードのコピーを取ることは、特定の用途以外では原則として禁止されています。店頭でも、マイナンバーカードを出して「コピーを取りますね」と言われることはないと思います。(この点が、偽造品の使用をたやすくしている面もあるかもしれません)
「IDリーダー」アプリを店頭で使用した場合、顧客の気づかない間にスクリーンショットを収集することが技術的にできてしまうので、もしかしたら、現時点で即採用には至らない要因になるかもしれません。
「JPKI利用者ソフト」の方は、一見して個人情報が載っていないこと、証明書の有効性は確認できるが、それで署名したりログインするわけではないことから、比較的抵抗感は少ないかもしれません。
ただ、いずれのアプリにも言えることですが、これらはあくまで「利用者本人が、自分のカードの内容や有効性を確認するためのアプリ」として作られています。店頭で、お客様のカードを読み取るのに使う、ということとは、一つハードルを隔てている、といわねばなりません。
ICチップによる真正性確認が、ICチップ付き身分証の本来の強み
しかしいずれにしても、一般に手に入るアプリとスマホで、正しい暗証番号を入力すれば、簡単にICチップの内容は確認できることが分かりました。
現在のように、目視だけで確認する状態は、ICチップ付身分証の本来の強みをまったく発揮できていない、残念な状態だと思います。
まだ本格的に運用できる状態ではありませんが、場面によっては、ご紹介したアプリでのICチップ読み取り確認が、すぐにも役立つ場面もあるかもしれません。少なくとも「ICチップの読み取り確認をさせてください」というだけで、現在出回っている偽造カードを使おうとした人は、退散する可能性もあると思います。
国が、この目的に特化した公式アプリを早急にリリースすれば、もしかしたら改善するのかもしれません。
アプリで読み取れない。やっかいな「暗証番号なしマイナ」
マイナンバーカードについては、実はもうひとつ問題点があります。
「暗証番号なしマイナンバーカード」の存在です。
保険証廃止にあたって、暗証番号を管理しきれないケースのために、特別に、医療機関においては暗証番号なしで保険証として通用するようにしたマイナンバーカードが、最近発行されています。
医療機関においては、特別な許可があり、窓口の人が目で見て本人と確認できれば、オンライン資格確認(保険証の有効性確認)の認証はとれるようになっています。
しかし、「IDリーダー」アプリなど、スマホでICチップの内容を確認するにあたっては、現在のところ必ず暗証番号が必要です。手元に現物がないので検証できませんが、おそらく、「暗証番号なし」マイナでは、この方法でICチップの真正性を確認することはできないと思われます。
と、するとですね…
もしかしたら、マイナンバーカードにおいては、店頭でのICチップ読み取りを必須化できないかもしれません。
または、「暗証番号なしマイナ」は、身分証として使用できません、となるか。
どちらかではないかと思われます。
これは…とてもがっかりです。なんとかならないものでしょぅかね…
コメント