【IWJブログ・特別寄稿】元・大手プロバイダー管理者が明かす! セキュリティ突破は想像以上にたやすい! マイナンバー施行開始 <前編> 2015.10.6

記事公開日:2015.10.6 テキスト
このエントリーをはてなブックマークに追加

(インターネット・セキュリティ評論家・滝本圭)

 安保法制への国民的な関心の高まりの裏で、ひっそりと隠され、しかし着実に施行へ向けて進められてきた、「マイナンバー法」こと「社会保障・税番号制度法」。

 いよいよ2015年10月中旬より、各世帯に宛ててマイナンバーの「通知カード」が送られてくる。メリットや安全性が強調されるマイナンバーだが、政府の言う「安全」は、本当に信頼して良いのだろうか?

 『国民総背番号制度』とも揶揄されるこのマイナンバー制度とは、一体どのような仕組みで、どんなリスクがひそんでいるのか、多くの人が理解しているとは言い難い。政府はこの制度によって、「行政の効率化」、「国民の利便性向上」、「公平公正な社会の実現」が達成されると胸を張る。どう考えても、役所にとって便利で効率のよいシステムということが優先されていて、国民個々の大切な個人情報の保護や悪用の防止に力点がおかれていないように思える。

 マイナンバー交付開始を目前にしたこのタイミングで、インターネット・セキュリティ評論家の滝本圭氏から、IWJに寄せられた特別寄稿『マイナンバー導入によって予想される詐欺被害』をお届けする。

 滝本氏は、元・大手プロバイダー管理者であり、自身の豊富な経験から、「ハッキングは容易である」と自信(?)をもって断言し、政府の主張する「安全性」に疑問を呈す。また、2007年に横浜市で起きた、知的障害者なりすまし事件などを例にあげ、「市役所や区役所から、頻繁に住民票データが流出しているとみるのが自然である」と警告した。

 安全性に疑問と不安を覚える多くの国民を、「利便性の向上」という決まり文句で押し切るのは、政府の常套手段になっている。IWJは、こうして、国民的な理解や合意が不在のまま、なし崩し的に始められようとしているマイナンバー制度の問題点を、この特別寄稿を皮切りに【シリーズ特集・マイナンバーのワナ】として、徹底的に検証していく。

(特集担当&前文・城石愛麻、文責・岩上安身)


マイナンバー導入によって予想される詐欺被害

ID管理はアルバイト、パスワードも効率的なハッキング手法で簡単に破られる!?

滝本圭氏寄稿_4laptop

 私は、かつて大手プロバイダーの管理者の一人として勤務したことがある。もちろん、経営主体は大手上場企業であるが、現場の管理は全員アルバイトだった。正社員に比べて、アルバイトだとセキュリティ意識が低くなるとは必ずしも言えないが、大手サーバー管理会社や、インターネットプロバイダーは、正社員を管理者にせず、アルバイトを管理者にしていることが多いのが現実だ。

 私が大手ISP(インターネットサービスプロバイダー)の管理者の一人として勤務していたのは、2000年ごろ。現場に派遣されたその瞬間から、IDとパスワードを教えられた。このIDとパスワードは、各作業者ごとに割り当てるという面倒なことはせず、管理担当者(アルバイト)全員で共有するというものだった。

 ちなみにパスワードは10桁。すべて小文字の英字であり、末尾6文字は、よくありがちな日本人女性名だ。たとえば、ゆき子(yukiko)とか、かな子(kanako)とかを連想してほしい。ハッキングの基本手法に、辞書にある単語を、組み合わせて入力するという手法がある。パスワード10桁のうち先頭4文字は、中学校で習う英単語だった。

 つまり、中学校で習う英単語(4文字)+日本人女性名ローマ字(6文字)の合計10文字でパスワードが構成されていたことになる。

 したがって、効率的なハッキング手法であるとされる、辞書単語を使ったアタック方式だと、英単語辞書+日本語単語辞書の組み合わせで、パスワードを破ることができたはずである。

 ちなみに、私が、当該ISPに勤務している間、パスワードは一度も変更されることがなかった。もしかしたらハッキングされていたのかもしれないし、ハッキングされていなかったのかもしれない。しかし、ハッキングされた被害者(ユーザー)が「ハッキングされた」という事実を発見しないかぎり、被害者からの申し出は発生しないわけで、問題となることもない。

 これが、私が自分の目で見た、大手プロバイダーの現実なのである。プロバイダーに接続することなしに、インターネット接続することはできない。しかし、それは便利ではあるが大きな危険性も秘めているのである。

パスワード流出は「ユーザーの自己責任」!?

滝本圭氏寄稿_1iphone

 さて、現在2015年だと、ネットワークサービスを利用する際に、登録するパスワードに、文字だけでは「セキュリティが弱い」と判断され、「数字も混ぜてください」となる。ちなみに、iPhoneを使用する際に必要となるパスワードは、パスワードに記号を使用することができない。したがって、iPhoneのアプリ購入などに使用されるパスワードは、英字(大文字と小文字)+数字の組み合わせでしか登録できない。

 ちなみに、gmailは、パスワードに記号(+や-など)を利用することができるので、iPhone(appstore)のパスワードよりも安全である。

 したがって、英字(大文字)+英字(小文字)+数字+記号をまぜてパスワードを登録することが自身のパスワードを守る最低限の手段であり、近年は銀行のネットバンキングにログインする際にも、一定期間パスワードを変えていないと、パスワードを変えるように警告が出る。

 しかし、こうした注意喚起は、裏を返すと、もしユーザー(口座名義人)のパスワードが流出しても、銀行は注意喚起という義務は果たしたので、あとはユーザーの自己責任ですよ、とやんわり主張しているに等しい。いわば、ネットカフェなどでよく掲示されている「ご自身の身の回りのものは厳重に管理してください。万が一の事件(盗難など)があっても当店は責任を追いません」という注意書きと同じである。

 「注意喚起」自体は悪いことではない。しかし、ネットワークに関わる企業やプロバイダー自身が、どれだけ真剣にパスワードの定期的な変更を行っているだろうか。

 どんなシステムも、人間がかかわる。しかも、担当者は上記のように非正規雇用の人たちが多く、しばしば担当するひとが変わっていく。パスワードの変更は少ないのに、人間だけが変わっていくということは、変更されない番号を記憶している人がそれだけ増えていく、ということだ。それは、すなわち情報の漏洩リスクがどんどん高まる、ということである。

疑問符のつくシステム構築(1)―過去に「データ流出事件」を起こした企業が入札

 さて、個人情報が流出し、発覚した近年の事例として、インターネットサービスプロバイダーOCNの個人情報流出事件が挙げられる。2013年7月25日 の朝日新聞『OCN、情報400万件流出か』の記事では、以下のように報じられている。

 「NTTコミュニケーションズは24日、ウェブサイト『OCN』上でメール閲覧などができるサービスの、認証用IDとパスワードが最大約400万件流出した可能性があると発表した」

 もちろん、流出してしまった側は、どこまで流出しているのかを把握しているわけではない(把握することは理論上不可能)。したがって責任を負いたくはないために「住所や電話番号や生年月日が流出したかは不明」と発表をする。

 「ハッキングは容易だが、痕跡を消すのにテクニックが要る」と言われる。つまり、ハッキングが露見したということは、痕跡が残っていた場合である。痕跡(データベースサーバーへのアクセス履歴)を消すことに成功していれば、ハッキングした痕跡すら消えているということになる。したがって、管理者からすると「ハッキングされた事実にすら気づかない」ということになる。

 自分の個人情報が漏洩したかどうか、多くの人は漠然と「分かる」ものだと思い込んでいたりするものだが、実はハッキングされた事実が発覚しないまま、当人は被害にあっていることに気づかない、ということもありえるのだ。発覚し、問題化して(問題が隠蔽されることもありうる)、さらに報道されて多くの人の知るところとなる。そうしたケースは、実は氷山の一角であると考えたほうがよい。

 さて、上記の400万件の個人情報流出があったOCNはNTT系のISP会社である。マイナンバーのシステム構築は、NTTコムをはじめとする5社が落札している。2015年2月19日の日経新聞『動き出すマイナンバー(中)システム改修3兆円争奪――NECやNTT系、日立…、国・自治体、構築、急ピッチ。』には、以下のように報じられている。

 「総務省管轄の地方自治情報センター(現・地方公共団体情報システム機構)が14年1月、一般競争入札で番号生成システムの設計開発を募集。入札にはNTTコミュニケーションズを代表とする国内大手5社連合が参加し、約70億円で落札した。連合には日立やNEC、富士通、NTTデータが含まれる」

 基本的に、サーバー構築、システム構築、プログラミング構築の業界では、受注した会社が直接にプログラミング作業を行うということはなく、下請けに発注するわけである。いわば、ゼネコンなどの落札と似ている。下請けに「丸投げ」する事例も多い。

疑問符のつくシステム構築(2)―工費は「新国立競技場」を上回る2350億円!?

 ちなみに、内閣官房によると、平成25年度に開かれた183回の通常国会の中で、政府はマイナンバー制度の導入やシステム改修の初期費用に、約2350億円かかるとしている。

 なぜそのような莫大な額になるのか。現在あるシステムの改修費として、年金機構やハローワークで155億円、国税関連で380億円、地方行政で1600億円かかる。そこに加え、新規のシステム構築費として、情報提供システムが190億円、番号の付番で160億円かかる。これらをすべて足すと、だいたい上記の数字になる。

 そしてこの初期費用の他に、システム構築後のランニングコストとして、毎年初期費用の10~20%がかかるそうだ。

 しかし、実際の費用は、想定しているものよりもさらに大きなものになると考えたほうが良さそうである。とある家電メーカーが、システム構築会社にデータベースの構築を依頼していた。すると工期が伸びたり、追加作業が増えたりして、予定の金額よりさらに多くを支払うことになった。これは家を建築する際に、余計な建築費用を工事業者から追加で請求される事例と似ているだろう。

 土木建築関係での公共事業で、下請けから孫請け、さらにひ孫請けと、何次にも下請けが行われるように、システム構築でも海外発注が行われることも多い。こういったシステム構築の海外発注(発注先は中国が多い)はオフショアとして定着している。

 問題は、こんなハイリスクな仕事を、外注に、しかも外国の業者に任せていて大丈夫なのか、ということだ。土木建築の現場で、コストを下げるため下請けに出した結果、「手抜き工事」が行われることがしばしば見受けられるように、システム構築でも同様のことが起こりうるし、情報の漏洩リスクが高まる可能性がある。

 通常、プログラミングでは、変数を意味がわかるような変数名(たとえば、大阪に関する変数だとosaka_dataや京都に関する変数だとkyoto_dataなど)で区別するが、中国など海外に発注した場合は、その変数の由来がわからない変数名(たとえばa1やa2など)を命名してくるので、メンテナンスしにくい。もしくは、ハッキングされているサーバーというのは、サーバー側の(PHPやJAVAで構築された)プログラムの更新やメンテナンスすら行われていないであろうと思われる。

 かつては、防衛省のシステム構築をオウムの関連会社が下請けとして担当したという事件もあった。2000年4月15日の朝日新聞『オウム真理教ソフト開発受注の官公庁公表 防衛庁の部品管理でも』では、次のように報じられている。

 「オウム真理教(アレフに改称)は十四日記者会見し、出家信徒が経営するコンピューターソフト開発会社のうち五社が、過去に四つの中央省庁と警視庁から計十一件のシステムを受注していたことなどを公表した。防衛庁からは航空機関連の部品を管理するシステムを受注していたことも新たに分かった」

 このときに、防衛省の情報が、オウムにつつ抜けになっていたのではないか、ということが問題視された。

 システムの構築者が、あとで自分がのぞきにいく、あるいは定期的に情報を盗み出す、そのための「バックドア」を仕掛けていることが、ありうるからである。

 どこでどう、情報を取得しようとするインセンティブを持つグループに、システム構築の過程で接点を持たれるか、わかったものではないのである。

振り込め詐欺に見る、情報漏洩防止の「限界」

滝本圭氏寄稿_3furikome

 このマイナンバーのシステムが稼働してから以後、どんなリスクが考えられるのか。まず考えられるのが、今でも被害が絶えない「振り込め詐欺」、「オレオレ詐欺」などの、特殊詐欺犯罪に悪用される可能性があるということだ。「振り込め詐欺」等が横行するようになってからすでに、久しい。「振り込め詐欺」とは「親族のふりをして電話をする」ことから始まる。つまり、当てずっぽうで電話をかけるならともかく(初期はそういう手口も多かったという)、基本的には、親族関係・家族関係が分かるデータがない限り、振り込め詐欺を組織的・継続的に実行することは難しい。

 家族関係が分かるデータといえば住民票である。住民票データには「現在データ」と「過去データ」があり、過去データは「除票」として管理される。かつて住んでいた住所地の区役所に行って「除票」がほしいと申請すれば、転入元と転出先が明記された「除票」が発行される。

 つまり、札幌市を実家とする学生が、東京の大学に進学して新宿区に住民票を移したとする。すると、札幌市に住民票があった時代の除票のデータを参照すれば、その世帯の実子が転出した新宿区の住所と共に、判明する。したがって、仮に、札幌市の住民票データを取得することができれば、札幌を実家とする実子の振りをして、札幌の実家(世帯主欄に記載のある氏名の人物)に電話をかけて、振り込め詐欺ができるということになる。

 行政は「振り込め詐欺に注意しましょう」と注意喚起を行っている。金融機関も同様に「振り込め詐欺に注意しましょう」というポスターを貼っている。最近はレターパックにも「レターパックで現金を送れ! は詐欺です」との警告文が記載されている。

 しかし、肝心の「振り込め詐欺に使用されている名簿」が、何を基礎にしているのかについては、マスコミは関心を持って報道しない。

 データ(名簿)の持ち出しは、財産(金銭など)の持ち出しと異なり、足がつきにくい(証拠が残りにくい)。また、データを持ちだされた組織(官公庁も民間企業も)の側も、自分たちの責任問題になるのを恐れて、データが漏洩したことに気づいても、その事実自体を隠蔽したり、指摘されても認めなかったり、認めても一部だけであったりと、できるだけ自分の責任が小さくなる方向へとインセンティブが働く。

 さらに言えば、持ち出されたデータに基づいて実害が生じても、露見するのはほんの一部であろうし、被害が生じても、警察に被害届を出さない被害者も少なくない。報復を恐れて、警察沙汰にせず、泣き寝入りをするケースも珍しくないという。また、被害が個人ではなく法人であった場合、公式発表しないで内部で処理する事例も少なくないはずだ。

 被害の報道が少ない、事件化した記録が少ない、などの公式的な発表だけをうのみにしていると、被害実態を見誤ることになるだろう。

 前述のOCNのデータ漏洩であるが、顧客データを管理しているサーバーがハッキングされたのだから、氏名や電話番号なども漏洩したと観るのが自然ではないだろうか(断定はできないが)。

 そうしたデータが、何に、どう使われることになるのか、わからない。流出したデータの原状回復はできない。どこかにデータは漂流していき、何か別のデータを組み合わせたときに、詐欺師たちにとって、大きな「チャンス」を生み出すことになるかもしれない。

 複数のデータが結びついた個人情報というのは、まさしく犯罪者たちにとって「宝の山」なのである。

流出しても、役所は「事実を認めない」!?―堺市データ流出事件での市の対応

 ちなみに、つい先日、大阪・堺市で住民票データが持ちだされた事例が報道された。2015年9月7日の読売新聞『堺市職員が無断保管 外郭データ情報流出 民間共有サーバー利用』では、次のように報じられている。

 「堺市の外郭団体に勤務する職員の名前など約1000件のデータがインターネット上に流出していたことがわかった。市会計室の課長補佐(59)が市に無断で持ち出し、民間のレンタルサーバーで保管していたデータとみられる。市は近く課長補佐を処分する方針。

 市によると、流出したのは、外郭団体のアルバイトや非常勤職員の名前、住所、学歴、勤務態度などのデータや、市選管の選挙システムに関して課長補佐が業者に送ったメールなど」

 この事件は、堺市に住む約68万人の有権者情報が外部に流出したとされる事件で、2015年の6月24日に市政情報課への通報で発覚した。9月5日の報道発表で、堺市は流出データについて「選挙システムとその動作確認用 に作成した架空の個人情報(ダミーデータ)であることを確認している」としていた。

 しかしその後、9月12日、ネット上の告発サイト「探偵ファイル」で、流出データに関して「電話帳に掲載されている情報と完全に一致し、ダミーデータではないことが判明した」との書き込みがあったことを受け、市は改めて調査をし、9月13日にはデータに実際の有権者情報が含まれていたことを認めた。

 つまり、当初、堺市は、「流出した住民票データは、ダミーデータであり本物のデータではない」という虚偽説明を行って、「情報漏洩」はないと言い張り、責任逃れを行っていたのである。

 「消えた年金」でもそうだが、役所は「消えた事実を認めない」ところからスタートして責任を回避しようとする。「漏洩した住民票データ」でも、堺市市役所は「漏洩した事実を認めない」ところからスタートし、電話帳などの住所・氏名と一致する事実をつきつけられて、ようやく「漏洩した事実」を認めるわけである。

 情報漏洩者が責任を問われたくないあまりに、事実をごまかすようだと、国民は自分の個人情報が流出したかどうか、という事実さえ、正確に把握できなくなる。なぜ自分が、詐欺犯罪グループの格好の標的になっているのか、理解できないまま、無防備な状態にとどめおかれてしまうのだ。

 この、堺市の住民票データは、電話番号だけでなく(電話番号は転入や転出の際に記入するので、役所はすべて把握している)、堺市の施設の利用の有無、堺市主催のイベントへの参加の有無などの情報が関連づけられてひも付けされている。

 したがって、現在の住民票データですら、市役所が把握しているあらゆるデータ(障害手帳の有無や等級など)と関連させて管理されている。

 ここまで読み進められてきた賢明なIWJのサイトの読者の皆さんには、もうお分かりかだろう。マイナンバー制度が導入される以前の段階で、これだけ重大な個人情報のデータ流出事故や事件が起きているのである。

 個人の各種重要情報を12ケタの番号に一元化してしまうマイナンバー制度が導入されて、実施されたら、個人情報の流出、悪用はこれまでの比ではなくなるだろうと、容易に想像がつくのである。そしてその流出は、個人の努力だけでは防げない。

情報の持ち出しが容易になった時代―個人情報は常日頃漏れている!?

滝本圭氏寄稿_2nayamu

 かつて、知的障害者の住民票を取得して、原付免許(学科試験と実技だけで1日で取得できる顔写真付き身分証)を取得して、複数の消費者金融から、その住民票を詐取された被害者本人になりすまして、金銭を詐取するという事件が多発した。

 こういった犯罪は、知的障害者の、住所・氏名・年月日・電話番号を把握していないとできない犯罪であるが、逆に「住所・氏名・年月日・電話番号」を把握していれば、いとも簡単に実行できてしまう犯罪とも言える。犯罪の実行は容易だが、どこの誰が知的障害者であるのかというリストが必要となる。似たような手口で犠牲になっている人がいることを見ると、やはり、市役所や区役所や福祉関連の業者等々から、頻繁に住民票データが流出しているとみるのが自然である。

 こういった犯罪は、帰国する予定のある外国人に実行させれば足はつかないということになる。ちなみに、露見して事件化したケースもある。2007年2月8日の朝日新聞『障害者になりすまし免許 口座開設に悪用 2容疑者逮捕 』では、以下のように報じられている。

 「知的障害者になりすまして運転免許証を不正に取得し、預金口座を開設して通帳をだましとったとして、神奈川県警が男2人を詐欺や有印私文書偽造、同行使の疑いで逮捕していたことが8日分かった」

 そもそも「住所・生年月日・氏名・電話」がわからないと住民票の交付は不可能であり、「知的障害者」のリストが入手できていないと、実行不可能な犯罪である。したがって、これらは、区役所や市役所が管理する住民票データが、漏洩していないと実行不可能な犯罪である。

 堺市の事例は、管理職(課長補佐)が住民票データを持ちだした事例であるが、多くの区役所の窓口は、派遣社員やアルバイトなどを採用して人件費削減を行っており、公務員以外でも住民票データにアクセスできる時代になっている。データにアクセスできる人が増えれば増えるほど、管理が難しくなり、流出可能性が高まることは否定できない。

 アウトソーシングの拡がり、派遣など非正規雇用の歯止めなき拡大などは、労働者の所得の低下や雇用の不安定性の面からだけでなく、社会全体のソーシャルセキュリティーの揺らぎ、という観点からも、再検討されるべきだろう。

 また住民票データも、1個のデータベースファイル(たとえばMicrosoftのAccessだと*.mdbの拡張子がついた1個のファイル)に保存可能であり、データベースのシステムが、Oracleを使用していようが、MYSQLを使用していようが、PostgreSQLを使用していようが、データベースファイルは1個で済む。

 数ギガバイトの容量であったとしても、USBメモリに接続すれば、簡単に物理的に持ち出せるので、かつて紙やオフィスコンピュータで住民票を管理していた時代に比べて、データの大量の持ち出しがはるかに容易になっている。こうしたことは、紙ベースのアナログな時代には、考えられなかったことだ。外部からの侵入をファイヤーウォールによっていくらしのいでも、内部犯行が行われてしまえば防ぐのは難しい。内部犯行に対するセキュリティは、意外なほどもろいのである(続く)。

IWJの取材活動は、皆さまのご支援により直接支えられています。ぜひ会員にご登録ください。

新規会員登録 カンパでご支援

関連記事

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です