2016年11月24日

●マイナンバー施行前に絶対に潰しておくべき"大きな穴"とは?

10月にはマイナンバーカードが各家庭に届き、来年一月から本格的にスタートするマイナンバー制度ですが、国がきちんと運営するならば大丈夫だと思いますが、実際はもうスタート前から「この部分だけは絶対に見直さないと、個人情報が洩れまくって、家庭によっては犯罪者集団に狙われる事になる」という箇所があります。
冗談抜きで本当に危険な箇所が。
これについては、すでに色々なセキュリティの専門家が指摘している事ではありますが、改めて自分も書いておきたい。

マイナンバー制度は、個人の情報を一元管理するわけではなく、実際は分野ごとに今までと同じく各機関が個人の情報を持ったままで、別の部署からマイナンバーを使って個人情報の照会ができるようになっています。
しかも情報の照会時には照会者の身元の確認が行われるとともに、「どの時間に、誰がその情報を照会したか?」の記録を残す事になっているので、たとえば他人がマイナンバーを知っても、その一般の人(あるいは犯罪者集団)が各機関が持っている情報のデータベースにアクセスして個人の情報を確認するという事はできません。
たとえば、銀行の資産情報のデータベースにアクセスできる者は、税務署などの必要なところだけにします。(アクセス制限)
それ以外ははじかれるし、なりすましでのアクセスなどの対策もさすがにしておくでしょう。


これだけを見ると大丈夫そうに見えますが、実は別の部分で個人の情報がダダ漏れになる大きな穴があり、専門家達は「その部分だけは絶対に見直せ」と言っているわけです。

マイナンバー制度では、「マイナンバーを使って自分の資産情報や納税額情報を本人がネットで確認する事ができるサイトを運用開始から一年以内にスタートする」という事になっています。
自宅のPCや出先のスマホ・タブレットなどで特定のサイトにアクセスしてマイナンバーを打ち込むと、自分の総資産額や納税額を照会できるわけです。
はっきり言って、個人が自分の総資産額や納税額を改めて確認する必要なんて皆無なのに、こんな"穴"にしかならない阿呆なシステムをスタートさせるとは…。


マイナンバーは、運営をスタートすると、びっくりするくらい簡単にナンバー情報が漏洩してしまうのは、もう目に見えています。

・カードの盗難や紛失による漏洩
・銀行のATMに隠しカメラを犯罪者集団が仕込むのと同じ手口で、カードを使う場所の近くに隠しカメラがいつの間にか仕込まれて、マイナンバー番号(と名前や住所情報)を大量に撮影されまくる
・本来収集してはいけない企業がマイナンバー情報を収集(犯罪者集団がそういう偽企業を作って一気に収集)
・業務のために各個人のマイナンバー情報を取得した企業が、ハッキング被害を受けてあっという間に大量にマイナンバーが漏れる(あるいは内部社員が意図的に漏洩する事も)

漏洩時の罰則を設けてはいますが、それで犯罪者集団がマイナンバー収集をやらないなんて事はありえません。
上記のような感じで、色んな人のマイナンバーはあっという間に漏れてしまうでしょう。


で、マイナンバー情報(と名前や住所情報)だけが洩れるのならともかく、そのマイナンバーを使って個人の総資産情報や納税額を先ほど書いたサイトにアクセスして簡単に確認できてしまうと、マイナンバーを不正に取得した犯罪者集団にとっては「どの家庭がどれくらい資産を持っているか?」が把握できてしまえる事になります。
一度資産情報が漏れたら、もうそういう「どの家庭がどれくらい資産があるか」の情報は、未来永劫、裏のマーケットでは流れ続けるわけです。
資産がある程度以上あるところは、もう今後何十年と詐欺や強盗被害の『対象』になり続けます。
これは洒落になっていません。

先日もテレビでこの危険性について専門家が指摘していたわけですが、犯罪者集団がそういう「個々人の資産情報」を大量に手に入れてしまうと、「どの家庭をターゲットに詐欺を仕掛けるか」や、「集団強盗でどの家庭に押し込むか」を決めるのに使われてしまいます。
これは冗談でなく本当に危ない話で、集団強盗の場合は、自分や家族が強盗の際に殺害されてしまう事も普通に起こりえます。
日本でも近年は金銭目的での強盗殺害事件が毎年結構な数起きているわけですが、それに拍車がかかる事になってしまいます。
あなたの家庭や、親、兄弟姉妹の家庭がマイナンバーの情報漏えいとシステム的な穴のせいで強盗の対象となり、それで殺害されてしまったら…。

強盗だけでなく、「身代金目的で家族を誘拐する」という事も、犯罪者集団がマイナンバー制度で簡単に他人の資産情報を知る事ができるようになると起きやすくなるでしょう。


「今までも銀行から資産情報が洩れていたのでは?」みたいな意見もあるかもしれません。
でも銀行はセキュアなシステムで、誰がどのくらい預金しているかは外部からのアクセスでは知る由もなかったし、万が一漏れてもデータが暗号化されていたり、また資産がある家庭では一つの銀行に資産を全て預けている所は皆無なので、実際は問題なかったのです。

でも、マイナンバー制度が始まり、「個人が自分の総資産額や納税額をマイナンバーを入力する事で簡単に確認できる」なんて阿呆なシステムがスタートしてしまうと、運営開始後からどんどん洩れまくるマイナンバー情報を使って犯罪者集団が各個人の総資産額や納税額・所得を簡単に把握できてしまえるようになるのです。


この「危険すぎる穴」については、絶対にシステム開始前に塞いでおかないといけません。

直すべき部分はいくつかあり、

まずは

・マイナンバーで自分の総資産額や納税額を知る事ができるサイトのサーバーには絶対に総資産額や納税額の情報のコピーはしない事

を順守させないといけません。
サーバーにコピーしてしまうと、万一のハッキングの際に「誰がどれくらい資産を持っているか?」の情報が一気に大量に漏れてしまう事になるでしょう。
サーバーに資産情報をコピーしておくのではなく、「本人の身元をしっかり確認(方法は後述のセキュリティトークンを使う)した上でサイトから専用の情報サーバーにアクセスして確認する」という風にするか、あるいは資産情報や納税額などの情報をもしサイトにコピーする場合はきちんと暗号化して万が一のハッキングや内部犯による情報漏えいに備えるべき。

これに加えて、

・サイトにログインする場合は、マイナンバーだけでなく、セキュリティトークンを使って刻々と変わるワンタイムパスワードの入力を必要とする事

を絶対に義務化すべきです。
各家庭にはジャパンネットバンクのワンタイムパスワードトークンのような「その人専用」のハードウェアキーを送付し、自分の資産や納税額情報確認サイトへアクセスする場合は、それに表示されるワンタイムパスワードの入力を必要とさせるのです。

「その人専用のパスワードトークンを使って、厳重な本人確認をしてからサイトにアクセスさせる」という感じです。
犯罪者集団がマイナンバーとその人の名前や住所情報を入手できても、その人専用のハードウェアトークンは持っていないので、資産情報や納税情報にはアクセスできないのです。
ハードウェアトークンは持ち歩かないようにするといいでしょう。(出先で総資産情報や納税額を確認するなんて事ないし)
トークンは泥棒により盗難されないようにしないといけないでしょうが。

ワンタイムではない普通のパスワードを設定する方式では外部のハッキングでそのパスワードが一気に漏れ、それとはまた別ルートで犯罪者集団が手に入れたマイナンバーを使って、本人を装って個人の資産情報などにアクセスして見てしまえるから絶対にダメです。
コストがかかってもワンタイムパスワード式にしないといけません。


色々な専門家の方がこの部分の「危険すぎる穴」を運用開始までに塞ぐように言っているわけです。
資産がある程度ある人ほどより危険な目にあう(場合によっては自分や家族・親や兄弟姉妹家族が押し込んだ強盗に殺害されたり、誘拐の結果殺される)わけですが、国会議員に献金している資産家などは今のうちにきちんと各議員に圧力をかけて、この穴を塞ぐようにさせないといけません。


ついでに見ておくべき情報:

「えぇ?今時はこんな変わった方法でパソコンやスマホ、タブレットが簡単にウイルス感染して情報が漏洩するの?」


も是非お読みください。
アクセス数が非常に多い大人気の記事です。
個人はもちろん、企業や官公庁の職員も必見。





posted by なみへい at 14:06
"●マイナンバー施行前に絶対に潰しておくべき"大きな穴"とは?"へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

×

この広告は180日以上新しい記事の投稿がないブログに表示されております。