マイナンバーカード偽造事件とICカードのセキュリティ

マイナンバーカードが偽造されたそうです。

在留カードとマイナカード偽造か 中国籍の26歳容疑者を逮捕

自宅で在留カードとマイナンバーカードを偽造していたとして、中国籍の26歳の容疑者が逮捕されました。押収されたパソコンからは3000件の偽造カードとみられる画像などのデータが見つかり、警視庁が詳しく調べています。

逮捕されたのは大阪市の無職で中国籍の周櫻※テイ容疑者(26)です。

警視庁によりますと、先月12日ごろ、自宅でパソコンやプリンターなどを使って在留カード13枚とマイナンバーカード9枚を偽造したとして、出入国管理法違反と有印公文書偽造の疑いが持たれています。

容疑者は指示役とみられる人物から送られたデータをもとに、ことし6月ごろから一日当たり1万2000円から1万6000円の報酬を受け取り偽造を繰り返していたとみられるということです。

容疑者の自宅からは、偽のICチップが付いた印字されていないカード750枚が押収されたほか、パソコンからは少なくとも3000件の画像などのデータが見つかっているということです。

調べに対し、容疑を認めているということです。

警視庁はカードを偽造したいきさつや指示役についても詳しく調べています。

※テイは「女」偏に「亭」

https://www3.nhk.or.jp/news/html/20231204/k10014277271000.html

このニュースを受けてITmediaが、マイナンバーカードの偽造はされたが、IDとパスワードが盗まれたわけではないということを解説した記事を投稿しています。

マイナンバーカード偽造で「ID/パスワードが漏えいする……」は誤認 今一度おさらいしたい仕組み
中国からの情報をもとに偽造したマイナンバーカードを所有していたとして、中国籍の女性が逮捕された事件。報道後、SNSやニュースサイトのコメント欄では「偽造されたことで、他者に悪用される」などと誤解が広まっている。そこでマイナンバーカードの仕組...

要は券面を真似して作っただけであって、ICチップを使った認証には使えないものだというわけです。

ICカードのセキュリティについては、ちょうど資格の勉強でやっていたところですので、復習がてらまとめておこうと思います。

スポンサーリンク

ICカードのセキュリティ

ICカードはICチップ (半導体集積回路) が埋め込まれたカードのことで、情報を記録することができます。

そしてICカードは耐タンパ性に優れています。耐タンパ性とは、tamper (許可なくいじる) を防ぐレベルのことで、ICカードに保存された重要データを外部から無理やり取り出そうとしたり、盗み読もうとすると破壊して読み取れないようにできています。

ICカードは耐タンパ性が高い上に、携帯性に優れているため、秘密鍵の保管に適しています。特にPKI (公開鍵基盤) においては、秘密鍵を個人が厳重に管理するためのセキュアな管理装置としてICカードが利用されています。

ICカードの脆弱性

携帯性に優れているということは、言い換えれば紛失や盗難による不正使用のリスクが高いです。その対策としてはバイオメトリクスによる認証技術を使ってなりすましを防ぐ方式があります。

耐タンパ性が優れているとはいえ攻撃方法はあり、配線パターンに直接針を当てて信号を読み取る部ロービングや、ICチップを観察して機能やセキュリティのメカニズムに関する情報を得るリバースエンジニアリングといった破壊攻撃のリスクがあります。ただし、これらは後述する非破壊攻撃よりコストが多くかかります。

非破壊攻撃はサイドチャネル攻撃とも呼ばれ、外部から観察可能な情報や、外部から操作可能な手段を利用して情報を奪取します。消費電流波形を分析したり、クロック周波数を変化させて誤動作を起こしたり正常動作時との差を分析するグリッチ、暗号化や復号に要する時間を測定することで鍵を推測するタイミング攻撃などがあります。これらはコストはかからない一方、情報奪取に時間を要します。

攻撃への対策

これはユーザーが気にすることではありませんが、攻撃への対策は下記のようなものがあります。

破壊攻撃については、周波数、電圧、温度、光などに関するセンサを搭載して仕様範囲外の動作環境に置かれた場合には、CPUをリセットしたりチップが動作しなくなるようにします。また、大事な回路は可能な限り下層に配線し、上層部のはぎ取りによって回路そのものが破壊される設計にします。

非破壊攻撃については、動作クロックを内部で生成することでアタックタイミングの同期を困難にしたり、同一演算でも処理時間が異なるようなアルゴリズムにするといった対策があります。

ニュース
スポンサーリンク
iEhohs.com

コメント

コメントする前にお読みください

プログラミングに関する質問について、詳細なコードはお答えしませんのでご了承ください。
また、迷惑コメント防止のために初回のコメント投稿は承認制です。投稿が反映されるまで少し時間がかかります。