マイナンバー、知られざる「攻撃巻き添え」リスク

マイナンバー、知られざる「攻撃巻き添え」リスク
ラック 取締役 専務執行役員CTO(最高技術責任者) 西本 逸郎
2015/10/27 6:30 日本経済新聞 電子版
税と社会保障の共通番号(マイナンバー)制度がスタートしてから約1カ月が経過した。そ
ろそろマイナンバーが記載された「通知カード」が届いた世帯もあることだろう。マイナンバ
ーのセキュリティーについて、世間では「漏洩したら一体どうなるのか?」と不安が高まって
いる。注意すべきは、企業や組織へのサイバー攻撃で個人のマイナンバーが「巻き添え」
となるケースだ。
「マイナンバーは怖い」「ひとたび漏れるととんで
もないことになるのでは?」と漠然とした不安を抱
く人は多いようだ。確かに、共通番号制度の先進
国である米国では「社会保障番号」を悪用した成
りすまし被害が多発し、深刻化している。他人の
社会保障番号を用いて銀行口座を設けたり、クレ
ジットカードを不正取得したりするケースのほか、
税金の不正還付や医療給付金の不正受給など
マイナンバー通知カードのみ見本(2日、東京都北区の
国立印刷局東京工場)
も起きていると言われる。
■原則として不正利用はできない
こうした成りすまし被害が今後、日本でも相次いで起きるのだろうか。ここで一旦、頭を切り
替えていただきたい。実は一般的な個人の場合は、過度に心配する必要はないのだ。まず前
提としてマイナンバーはただの数字にすぎない。マイナンバーだけが漏れた場合、それだけで
は、まず不正利用はできない。
住所や氏名など個人情報と一緒にマイナンバーが漏れたとしても、原則として成りすまし詐
欺はできない。公共機関や金融機関などマイナンバーを使った各種の手続きをする際には、
運転免許証など顔写真付きの身分証明書で本人であることを厳格に確認することが法律で求
められている。内閣府の問い合わせ窓口によると、そうした確認を怠ったことで、成りすまし詐
欺が発生した場合は「関係機関の責任が問われる」という。
つまり、成りすまし詐欺が起きたとしても、マイナンバーの取り扱いに不備があった事業者や
公共機関が補償すべきもので、被害に遭った人が負担を強いられることはないということだ。
盗まれたクレジットカードが不正使用されても、カードの本来の所有者が被害額を負う必要は
ないのと同じだ。
漏洩によって、成りすまし詐欺などの被害を受ける可能性がある場合には、マイナンバーを
変更することもできる。もちろん、被害を負わないからといってマイナンバーを自分から流出さ
せることはやめたほうがよい。罰則はないものの、意図的な流出は法律違反であることに変わ
りない。大切に取り扱わなければならないのは常識だろう。
■マイナンバーで社会的ダメージを与える
マイナンバーに関して心配は一切ないのかと言えば
そうではない。原則的には、流出しても個人が被害を
受けない仕組みになっているが、将来的には、制度
の抜け穴を利用して第三者が年金を不正受給すると
いった事件が起きないとは限らない。セキュリティー
マイナンバー制度の番号通知カードを配達する郵
便局の配達員(23日午前、徳島県海陽町)
の世界では、どんなに対策を施しても新たな抜け穴か
ら攻撃されるという、いたちごっこが続くことは常識
だ。
一般の個人が注意しなければならないのは「コラテラル・ダメージ」だ。コラテラル・ダメージと
は「巻き添え被害」という意味で、「戦闘時における民間人の犠牲」とのニュアンスも含まれる。
2002年に公開されたアーノルド・シュワルツェネッガー主演の米映画のタイトルだが、マイナン
バーのリスクをずばり象徴した言葉とも言える。
今やあらゆる企業や公共機関などの組織はサイバー攻撃の危機にさらされている。つまり
見方によっては、サイバー攻撃との戦いにおける最前線といえる。マイナンバーを企業や組織
に預けるということは、最前線の基地に自分の分身を置いてくるようなものなのだ。一般の人
が警戒しなければならないのは、そうした攻撃の「巻き添え」で個人情報を暴露されることだ。
マイナンバーが巻き添えにされる可能性が高いの
は、サイバー犯罪者が盗み出す情報に価値を見いだ
しているのではなく、標的とする企業や組織に恥をか
かせることで、精神的あるいは社会的なダメージを与
えようとしている場合だ。
企業や組織は法律によって厳格な安全管理を義務
個人情報カード表・裏
付けられ、個人は報道などで「人には教えるな」など
徹底的に啓発されている。だからこそマイナンバーは、犯行を企てる者に狙われやすい「急
所」になる。急所への攻撃が成功すれば、世間の注目を浴び、本来の目的を達成できるから
だ。
そうした社会的なダメージを与えようとするサイバー攻撃は2種類に分類できる。ひとつは主
義主張に基づくサイバー攻撃、もうひとつは内部犯行だ。
主義主張による攻撃で記憶に新しいものとしては、今年7月に発生した、カナダの不倫交際
目的の交流サイト(SNS)「アシュレイ・マディソン」から利用者の個人情報が流出した事件が
ある。報道によると、同サイトに否定的なハッカー集団が閉鎖をもくろんで攻撃を仕掛けたとさ
れる。
日本でも今年5月、日本動物園水族館協会のサイトが攻撃されて会員情報が流出したこと
が報じられた。これには国際的ハッカー集団「アノニマス」が関わっているとされ、当時世界的
に問題視されていた日本のイルカ追い込み漁への抗議のためだったと言われている。
内部犯行は、不満や恨みから所属組織に打撃を与える目的の犯行だ。日ごろから不満を募
らせていた従業員が、会社に社会的制裁を与えようとするものだ。実は現在でも、個人情報流
出の典型的な例の一つだ。「わが社のマイナンバー管理は万全です」などと公言している企業
であるほど、犯人にとってマイナンバーは格好の攻撃材料となるかもしれない。
自治体や金融関連の会社だけではなく、社員やその家族のマイナンバーを集めることにな
る一般企業も、今後はマイナンバーが格好のターゲットになり得ることを認識し、心してセキュ
リティー対策に取り組む必要がある。
■マイナンバー詐欺は救済なし
今後、最大の脅威となり得るのが個人情報を悪用した詐欺だ。例えば、社会問題となって久
しいオレオレ詐欺と同じように、警察や自治体の職員などを装った犯人が「Aさんのマイナンバ
ーは○○○○ですよね? 実はこの番号が漏洩しています」などと連絡してくる。入手した個
人情報で相手を信頼させた上で、「番号を漏洩した責任を取る必要がある」とか「番号変更の
ために」「示談のために」といった口実でお金を振り込ませようとするだろう。
一度被害に遭うと、それを材料にしてさらにだまされるシステム詐欺の被害に遭ってしまうこ
とも十分に想定される。成りすまし被害と異なり、詐欺による金銭被害は基本的にはどこにも
救済してもらえず、泣き寝入りするほかない。オレオレ詐欺のような特殊詐欺の被害者も依然
として後を絶たないが、今後はさらに被害が拡大する恐れがある。社会全体で犯罪に備える
必要があるだろう。
最後に、マイナンバーが狙われる事態が発生したときに、攻撃を仕掛けた側こそ許さないと
する社会的風土を作っていくことも大事だ。情報漏洩が発生するとすぐに攻撃された企業や組
織に対するバッシングが起こるだろうが、犯人はまさにそうした状況を狙っている。一般の人を
巻き添えにしかねない犯行や犯人こそ許さないとする意識を社会全体で共有していきたい。
西本 逸郎(にしもと・いつろう) ラック取締役CTO。北九州市出身。1986年ラック入社。
2000年からサイバーセキュリティー分野にて、新たな脅威に取り組んでいる。日本スマート
フォンセキュリティ協会事務局長、セキュリティ・キャンプ実施協議会事務局長などを兼務。
著書は「国・企業・メディアが決して語らないサイバー戦争の真実」(中経出版)。
Copyright © 2015 Nikkei Inc. All rights reserved.
本サービスに関する知的財産権その他一切の権利は、日本経済新聞社またはその情報提供者に帰属します。また、本サービスに
掲載の記事・写真等の無断複製・転載を禁じます。