未だにマイナンバーカードによるSIMスワップ(SIMの再発行による携帯電話番号の第三者による乗っ取り)帽子について考えています。総務省によるPDF https://www.soumu.go.jp/main_content/000528384.pdf を眺めると、民間サービスの例として「携帯電話購入に必要な本人確認時にカード利用(電子署名)」する応用としてSIMの再発行時の第三者によるなりすましの抑制が上げられるのかもしれない。んだけど、利点が「申込書の自動作成が可能となり、顧客の記載ミス防止や対応時間短縮」となっていて、それだけ?って。
なお、上記の例ではたぶんマイナンバーカードに格納されている署名用電子証明書が使われることになるのだろう。署名の対象とする文書が何なのかはっきりはしないのだけれど、デジタル署名がおこなれるのならば、私有鍵のコピーは難しいはずなので、公的個人認証の強度はマイナンバーカードの物理的な盗難と暗証番号の窃取の困難さで制限されることになりそう。SIMの再発行時の本人確認に署名用電子証明書を利用せず券面に記録されている情報のみを検証する場合には、公開情報が充分あれば適当な暗証番号でマイナンバーカードを偽造することができそう。
マイナンバーカードの語彙では電子証明書に私有鍵(秘密鍵)が含まれるみたいなのでちょっと混乱するね。上記PDFより、
- 署名用電子証明書には、
- 基本4情報(氏名、生年月日、性別、住所)、
- 発行番号、発行年月日、有効期間、発行者、
- 署名用秘密鍵が、
- 利用者証明用電子証明書には、
- 発行番号、発行年月日、有効期間、発行者、
- 利用者証明用秘密鍵が、
含まれるみたい。それぞれの証明書に署名用公開鍵と利用者証明用公開鍵も対になっているのだけれど、資料からは公開鍵が電子証明書に含まれるのかどうかわからなかった。