関西のニュース 「偽造マイナカード」で知らぬ間に携帯の機種変更 キャッシュレス決済でロレックス購入される(関西テレビニュース)
225万円のロレックス、偽造マイナカードで勝手に購入 “目視”ベースの本人確認が抜け穴に(YAHOOニュース)
スマホを勝手に機種変更される、225万円するロレックスを勝手に購入されるなど、偽造マイナンバーカードを使った被害が後をたたない。背景にあったのは、顔写真付き身分証を使った“目視”ベースの本人確認だ。
偽造マイナンバーカードを使ったSIMスワップ詐欺
── スマホの乗っ取りについてあらためて教えていただけますか。
議員さんが「機種変更」と言っていますが、これはSIMの再発行の問題です。SIMの再発行をするということは契約そのものを丸ごと乗っ取っているわけで、SIMハイジャック、SIMの乗っ取りという詐欺のひとつです。
SIMスワップ詐欺については2022年にかなり起きていました。このときに多発していたのはおおむね運転免許証の偽造です。運転免許証を偽造されて、ネットバンキングなどでお金を盗みとるという事件が多発していたんですね。
それについては2022年9月に警察庁と総務省が本人確認の厳格化を要請しました。その期限後の2023年5月以降、SIMスワップはほぼなくなりました。恐らく、本人確認の方法を運転免許証の目視確認からICチップによる確認に切り替えたのでしょう。これによって偽造免許証の悪用はできなくなりました。
しかし、ここに来て犯人グループが目をつけたのがマイナンバーカードです。一部の携帯電話会社では、マイナンバーカードを使った本人確認は「目視のみ」。それなら偽造してしまえばいいということになったわけです。
「目視」を前提とした本人確認の仕組みを悪用
── 犯人グループはどんな手口を使ったと考えられますか。
犯人グループは闇バイトなどの顔写真を使ってマイナンバーカードを作成していました。マイナンバーカードに書かれている情報は氏名、住所、生年月日、性別だけ。議員であれば公開されている情報がほとんどなので、偽造は簡単だったのでしょう。実際今回の事案では、議員さんの話を聞いている限り、犯人グループは氏名、住所、電話番号くらいしか把握していなかったようです。
松田市議の事案で、犯人グループは偽造マイナンバーカードでSIMを乗っ取ったあと、まずPayPayを乗っ取り、まずは電話料金合算でのチャージをしています。クレジットカードでもチャージされていました。PayPayはタクシー代などに使われています。その次の被害がショッピングサイトです。推測ですが、犯人グループはSMSを使った認証を悪用し、パスワードをリセットするなどして被害者議員になりすまし、オンラインショップでロレックスのデイトナを購入したのではないでしょうか。購入には信販会社のローンが使われていましたが、ここでの本人確認も、おそらくマイナカードの撮影だけで済んでいたものと推測します。
── マイナンバーカードを撮影するだけの本人確認というのはどういうものでしょうか。
「eKYC」という本人確認の仕組みですね。すべての企業がマイナンバーカードのICチップを使った認証をするわけではなく、スマホでのカード撮影と顔写真撮影による簡易的な本人確認を使っているところもあります。なぜその方式が通ってしまっているかといえば、これまではマイナンバーカードの偽造というものがなかったので、対策が後回しになっていたところがあるのではないかと思います。ただし、偽造カードが使えてしまうのは簡易的な仕組みだけ。マイナンバーカードのICチップ偽造は技術的に不可能に近いです。
抜本的な対策として必要なのは本人確認の強化
── 被害にあわないためにはどうすればいいのでしょうか。
一般ユーザーとしては対策のしようがないのが現状です。住所、氏名、生年月日はさんざん流出しており、場合によっては公開情報として手に入る場合もあるので、防ぎようがありません。ただし間接的にはスマホの安全性を高めるという意味で、ウェブサービスを使うとき、パスワードの使いまわしをやめる、フィッシングサイトにだまされないようにする、安全性の高い認証方法を選ぶといった対策が考えられます。具体的には、生体認証などを使って、特定の端末でしかログインできないようにする「パスキー認証」を使うことです。なりすましがされにくくなります。
── 企業や国にはどんな対策が求められますか。
抜本的な対策として必要なのは、本人確認の強化です。携帯電話会社での本人確認はマイナンバーカードの目視確認などではなく、ICチップを使った公的個人認証にしてほしいですね。
もうひとつはネットサービス会社がSMS認証に頼らないでほしいということです。現在、多くのサービスでSMSを使った個人認証をしています。しかし、SIMスワップが多発している現状、SMSは認証方法としてはよろしくない。SMSではなくコード生成アプリなどを使うようにすることで対策になります。
さらに極端なことを言えば、マイナンバーカードについても「ナンバーレスマイナンバーカード」があってもいいという意見もあるんです。券面に何も書いていない「公的個人認証カード」があればいいと。ICチップさえ入っていれば、住民票の請求などもできるわけですから。
── 今回の事案はマイナンバーカードというより“本人確認”の問題なんですね。
これまでは顔写真付きの身分証明書で信用できる社会だったんですよね。性善説で「顔写真付きの身分証明書なら問題がない」という前提で動いてきた。これまで犯罪グループは捕まるリスクとお金を儲けるバランスを天秤にかけて、“顔出し”の犯罪はしてきませんでした。しかし、匿名通信アプリや飛ばしのケータイで簡単に足切りができる闇バイトというコマができたことで、捕まってもいい闇バイトの顔写真付き身分証で無茶な犯罪ができるようになってしまったんです。その結果として顔写真付き身分証がまったく信用できなくなってしまったということがあります。今回の事案の背景にあるのは、マイナンバーカードというより「顔写真付き身分証」を前提とした社会構造の問題ではないでしょうか。
う~ん、しかしトップにある画像、有効期限を見れば目視でも偽造がわかりますね・・・
司法書士向け見積・請求・請求(控)・犯収法第4条に係るチェックシートをエクセルデータで無償で配布中。
上記では、他いろいろ取り扱っておりますのでご活用くださいませ(^o^)丿
☆コンビニ証明書原本性確認に最適 偽造防止検出画像確認用赤外線カメラ&バッテリーセット
情報提供&blog、随時更新!(^^)!
もしよかったら、見てくださいね。
Facebookページ:ベルコンピュータシステム
司法書士・土地家屋調査士業や登記・供託オンライン申請システムについての
情報メール希望の方は:コチラ
※コメント投稿者のブログIDはブログ作成者のみに通知されます