マイナンバーカードの弱点

・Knuhsの書斎 から転載 ── パスワードの強度 ▼パスワードの更新申請 　先日、区役所からマイナンバーカードで使用している電子証明書用の暗証番号(パスワード)の更新を促す書類が届いた。 　マイナンバーカードを作ってから５年が経とうとしている。国の定めた規則では、カードを作成した日から数えて５回目の誕生日の前までに更新手続きをしないとパスワードが使えなくなると言う。ただ、パスワードは使えなくてもカードだけを使うのは許されている。 　マイナンバーカードには次の４種類のパスワードがある。 　(1)署名用パスワード(英数字6～16文字) 　(2)利用者証明用パスワード(4桁) 　(3)住民基本台帳用パスワード(4桁) 　(4)券面事項入力補助用パスワード(4桁) 　(1),(2)は電子証明書で使われるもので、今回はそれが失効するらしい。私は、自動車の運転免許を(期限切れを利用して)自然放棄して以来、身分証の代わりになるものが欲しくて2017年にマイナンバーカードを作成した。以来、映画館や美術館などで入場する際に利用させてもらっている。 　しかしこの間にパスワードを使ったのは特別定額給付金を申請したときの一度だけである。高齢者の私めがパスワードを今後も必要とするかどうか慎重に考えた末に、やはり更新しておくことに決めた。何事にも想定外のことが突然起こる世の中であるからして、もしかするとまた給付金を貰う必要が起こるかもしれない、と卑しくも(?)先読みをした訳ではない。 　実は、最初にパスワードを設定したときに生じた疑問を、この機会を利用して明らかにしておきたかったのである。 ▼５年前のこと 　５年前にマイナンバーカードを作成したとき、初回だったので私は区役所にカードを受取りに行ったのだが、区役所の入口のホールにはマイナンバーカードを受け取りに来たと思われる人々でごった返していた。入口で番号をもらい、その番号の呼び出しを待つ方式なのでさすがに長い行列はなかったが、座るところがない人はただ立って待つしかない状態になっていた。今日は大変な日になるなと私は思ったのを覚えている。 　２時間以上待ってやっと自分の番号が呼び出しの掲示画面に表示された。窓口付近に行くと、最初だから全員が専用の端末(数台しかない!)の前に座って自らパスワードの設定作業をやらされていたのである。なるほど、これでは待たされる訳だ。 　やっと私の順番になった。数少ない端末の一つに座って私はあらかじめ郵送されてきた「個人番号カード・電子証明書 設定暗証番号記載票」という用紙に記入しておいた通りにパスワードを設定しようとした。すると担当者は「英字はすべて大文字にしてください」と言うではないか。意外であった。パスワードを作るときの常識として、英字(大文字と小文字)と数字を混ぜて構成するのが推奨されている。更に特殊記号が使えるとなお良い。私は担当者に大文字に限定する理由を聞きたかったのだが、会場が異様に混んでいたので自重した。 　私は指示にしたがって小文字で設定する積りだった文字をすべて大文字にしたのである。帰宅後、忘れないようにと暗証番号の記載票に大文字の英字と数字だけで構成したパスワードに書き換えて、更に事の顛末をメモしておいたのである。 　その後、このときのことを思い出す度に、あれは担当者の勘違いだったのではないかと思うようになった。大文字と数字しか使えないなどということはあり得ないことだ。 　しかしその後、それを疑問視したり不満を表明したりする人に一度も出会ったことが無かったから、私は、これは担当者の勘違いだと確信するようになった。今度機会があったら小文字も可能であることを確認し、パスワードの変更をしてもらおうと考えていたのである。 ▼マイナンバーカードの弱点 　やっと、５年振りにその機会が訪れたのである。私は窓口で担当者に提出書類を渡しながら聞いてみた。すると担当者はパスワードの変更はできますが小文字は使えませんと言うではないか。５年前の担当者の言葉に間違いはなかったのである。小文字が使えないのなら敢えてパスワードを変更する必要はない。更新だけにしよう。 　仕方なく私は、更新手続きのみをすることにして端末の前に座ったのである。既に画面には本人確認に必要な(2)のパスワードを入力する場面になっていた。それを入力して画面を見ると、 　０から９までの数字を四角で囲んだものが１０個、 　ＡからＺまでの英字を四角で囲んだものが２６個 が整然と並べられ表示されていた。 　それを見て、私はなるほどそういうことなのかと合点がいったのである。たった３６個の字種しか使えないようにしてあったのである。使える字種の数が少なければ、それだけ設定時のミスは少なくなる。使うときのミスも少なくなる。これは明らかに私のような高齢者にも扱い易くするための配慮だったのかもしれないと考えた。高齢者にも優しいシステムを構築するためなのであろう。 　しかしこれでいいのだろうか。大文字・小文字の区別を許せば字数は増える。字数を増やせば文字の組み合わせの数は飛躍的に増える。パスワードの安全性も飛躍的に高くなる。特殊記号を許せば更に安全性は高まるに違いない。 　このシステムは、おそらく高齢者を意識して使える字数を絞ったのだろうが、それは取りも直さずパスワードの安全性を犠牲にしたことになる。カードさえ手に入れればパスワードを破るのは比較的簡単になるであろう(*1)。今後、悪用されるケースが増えていくのではあるまいか。 【注】(*1)パスワードの強度は普通５段階で評価されることが多いが、これは最低レベルの強度である。 　防衛策としてできることは、長いパスワードにすることしか方法がない。高齢者にとっては、無意味にも思われる長い長い文字列を記憶するのは更に大変なことである。決して高齢者に優しいシステムとは言えなくなる。 　国は、健康保険証などもマイナンバーカードに統一することを考えているようだが、そのベースとなるマイナンバーカードのパスワードの仕組みが脆弱であるとすれば、日々の生活で安心して使えないことになる。多機能化するのは危険であろう。 　今回のパスワードの更新手続きの際に担当者に言われたのだが「更新後２４時間はパスワードを必要とする目的では使えません」とのことであった。リアルタイムで更新されないのであれば増々我々の日々の生活に影響することになる。早急の改良が望まれる。