「iPhone＋マイナンバー」で身ぐるみをはがされる…ホワイトハッカーが警鐘「ゼロリスクでなくハイリスク」デジタル庁の大暴走

2024年6月2日 9時0分

　岸田総理大臣は5月30日、アップルと会談し、来年春にマイナンバーカードの機能をiPhoneに搭載し関連するサービスを利用できるようにすることを確認した。何かとトラブルが相次ぐマイナンバーカードだが、これによる新たな問題は起きないのか。作家で元プレジデント編集長の小倉健一氏が取材したーー。

iPhoneに搭載されることになっても、危険（リスク）は、形を変えて残り続ける

「偽造マイナンバーカードによる事件が相次いでいますが、今回、iPhoneに搭載されることになっても、危険（リスク）は、形を変えて残り続けるのではないか」

　そう警鐘を鳴らすのは、国内外でドローンやAIを使った課題解決の実績もあるハッカーで私立大学で研究を行う「量産型カスタム氏」だ。雑誌Wedgeに寄稿しているほか、ダイヤモンドオンラインの取材も受けている。最近では、護衛艦いずもドローン盗撮事件でいち早く動画を分析しフェイク説を一蹴、飛行方法など詳細についても経験に基づいた具体的な見解や対策案を示すなどして最近の自民党安全保障部会の資料でも名前が取り沙汰された人物だ。

　そんな量産型カスタム氏が見解を示したのは、最近の政府とアップルの発表である。

Appleウォレットの身分証明書機能の展開、米国外で初

　首相官邸のX（5月30日・午前11:18）には＜本日（5/30）、米Apple社CEOのティム・クック氏とテレビ会談を行い、来春、iPhoneにもマイナンバーカードの機能を搭載することを確認しました。／皆さんのスマホで様々なサービスが受けられるデジタル社会に向け、利便性の向上の取組みを進めてまいります＞という投稿がされた。

　また、アップル社のホームページにも首相官邸のXと同日付で＜Apple、日本でのAppleウォレットの身分証明書機能の展開を発表、米国外で初＞というタイトルのニュースリリースが掲載された。

＜マイナンバーカードをお持ちの、日本にお住まいのみなさんは、来春の後半より、Appleウォレットにマイナンバーカードを追加して、対面またはiOSのアプリ上で安全に提示できるようになります＞

＜Appleは、日本のデジタル庁と協力し、来春の後半から日本に住むみなさんがAppleウォレットでマイナンバーカードを利用できるよう準備を進めています＞

このスマホに「マイナンバーカード」機能が搭載される事で発生するであろうあらたな危険性

＜「マイナポータル」iOSアプリにアクセスしてオンラインの行政サービスを受けるなど、常にiPhoneのセキュリティ、利便性とともに、安全に利用できるようになります＞

　アップル社のリリースからは、安全に、安全に、安全に、と安全面が繰り返し強調されている。利用者の多くに、安全面での懸念があるということを理解しているのだろう。

＜現在、Android端末のうち、約200の端末に搭載できます＞（デジタル庁ホームページ「スマホ用電子証明書搭載サービス」）とあるから、このアップル社との連携によって、日本国内で利用されるほとんどのスマホに「マイナンバーカード」機能が搭載されることになる。

　量産型カスタム氏は、このスマホに「マイナンバーカード」機能が搭載される事で発生するであろうあらたな危険性（リスク）についてこう指摘する。

本人写真を生成AIツールとSMS認証を組み合わせて乗っ取る手法

「iPhoneユーザーは、顔認証（Face ID）を利用しているケースが多いと思うのですが、マルウェア感染（悪意あるソフトがシステムに侵入し被害を与えること）により入手した本人写真を生成AIツールとSMS認証を組み合わせて乗っ取る手法（※１）など簡単に突破できてしまう現実があります。iPhoneが乗っ取られて顔認証を突破されると、最近起きた偽造マイナンバーをめぐる事件とは、また違った形で被害を被る可能性があります」

　量産型カスタム氏のいう事件とは、この事件だ。

＜大阪府八尾市の松田憲幸市議（４３）は４月３０日午後、スマートフォンの電波が途切れたことに気づいた。契約するソフトバンクの地元店舗に相談すると、「名古屋市の店舗で機種変更されている」と告げられた。名古屋の店舗に確認したところ、何者かが市議になりすましてマイナカードを提示し、店側はカードの目視のみで本人確認を済ませたという。／その後、機種変更されたスマホを使ったネットショッピングで市議名義のローンが組まれ、２２５万円のロレックスの腕時計が購入されていたことが判明。腕時計は東京・銀座の店舗で受け取られたという。スマホのキャッシュレス決済でタクシーの乗車料金など約１７万円が支払われていた／大阪府警は、他人になりすまして携帯電話販売店で「スマホをなくした」などと偽り、ＳＩＭカードを再発行させてスマホを乗っ取る手口「ＳＩＭスワップ」とみて、愛知県警と連携して詳しい経緯を調べている＞（読売新聞、5月28日）

「ゼロリスクなどありえないのだから、イノベーションを信じ」への懸念

　この事件では、議員であったために公開されていた個人情報を悪用して、新しいスマホを作られてしまったわけだが、それが盗まれても同じことが起きる可能性がでてくるわけだ。個人情報を盗んだところで、本人にスマホを返却し、一定時間を経て、ゆっくりと機種変更、銀行口座、クレジットカード、キャリア契約などを実行し、カネに代えていくというわけだ。

　しかし、世の中には「ゼロリスクなどありえないのだから、イノベーションを信じて、前に進むしかない」と考える人も多い。河野太郎デジタル大臣も、その代表格であろう。これだけ多くの窃盗や被害が膨らんでいる中、利用率も低いまま、マイナンバーカードの普及を少し立ち止まろうとはしない。

　量産型カスタム氏はこう懸念を表明する。

セキュリティやデジタルへの理解が相当低い人を基準にして普及と訓蒙を同時に進めるべき

「たしかにどんなことにもゼロリスクにはなりませんし、デジタル分野のイノベーションは必要です。しかし、公的な証明書の運用については慎重な検討が求められます。アップル社や政府・デジタル庁がいくらセキュリティに気をつかったとしても、携帯キャリアショップ（ドコモショップなど販売代理店）のスタッフやユーザーという末端で、結局は『人間がセキュリティの穴』になってしまうのです。

　セキュリティに対する意識などITリテラシーには当然個人差があり、例えば、私なら絶対しませんが、SNSに自分の生年月日を公開する、年齢確認などで身分証明書の画像をスマホに保存するといった行為を現在も多くの人はしていると思います。そこに犯罪者は狙いを定め非対称戦（戦力が大きく異なる者同士の戦闘）を仕掛けるわけです。身分証明などに用いられる公的なものについては、セキュリティやデジタルへの理解が相当低い人を基準にして普及と訓蒙を同時に進めるべきでしょう。

　実はウクライナのスマホ用政府ポータルアプリ『Diia』の普及を主導したフェドロフDX担当大臣含めウクライナ政府とデジ庁は『デジタル分野における協力覚書（MoC）』（※２）を取り交わしています。もっと積極的に、彼らから意見や協力を求めても良いと思います」

アマゾン・ウェブ・サービス（AWS）ほぼ１社の独壇場を許すデジタル庁

　デジタル庁の暴走は、マイナンバーばかりではない。ガバメントクラウド、つまり、行政業務を行うために必要なコンピューターシステムを共有するための仕組みを構築する際にも、スピードを重視するあまり、アマゾン・ウェブ・サービス（AWS）ほぼ１社の独壇場を許す展開となってしまった。〈多額の費用を米側に支払い、国際収支を1.6兆円も悪化させる要因になっていた〉（産経新聞・2023年12月5日）という。デジタル庁関係者はかつて筆者にこんなことを打ち明けている。

「デジタル庁には多くの民間出身職員に元アマゾン社員がいて、幅を利かせている。今回のガバメントクラウドの技術要件はアマゾンの提供するAWSに準拠したものだが、約8割は日本の自治体に必要のないものだ。この無意味な技術要件が、日本企業の参入を妨害しているのは間違いない。当然、コストも上がる」

　実際に、日経新聞などの取材（2022年4月20日）でも〈「これじゃ米アマゾン・ウェブ・サービス（AWS）のプレゼン資料そのものだ」。2021年10月、行政向けシステム基盤「ガバメントクラウド」の先行事業の公募で、デジタル庁が求める要件を見たIT（情報技術）企業関係者らは絶句した〉という声が上がっている。猪瀬直樹参議院議員も「ガバメントクラウド担当にアマゾン出身者がいたりする」（note・2023年7月18日）と、デジタル庁にアマゾンが強い影響力を持っているということをうかがわせるエピソードには事欠かない。

「セキュリティやデジタルへの理解が相当低い人」への目配りがまったくない

　河野太郎デジタル大臣は、仕事の成果を拙速に求めすぎるあまりに、公的機関に必要な「セキュリティやデジタルへの理解が相当低い人」への目配りがまったくない。台湾のデジタル政策を牽引したオードリー･タンは、「私はデジタルから遠い人たちがいつかいなくなるだろうとは思いません。デジタルを学ばないと時代に遅れてしまうよ、という態度は絶対に取りたくありません。デジタルデバイドを埋めるためには、何か1つ2つのことをやればいいということではなく、誰も置き去りにしないインクルージョン（包括）の考えがなければならないということです」（プレジデント 2020年10月16日号）と述べている。河野大臣に必要なのは、こうしたインクルージョンな姿勢であろう。

（文中注）

※１　Forbes,2024.02.17「iPhoneユーザー注意、顔画像を盗み銀行口座を標的にするマルウェア流行中」https://forbesjapan.com/articles/detail/69192

※２　『デジタル分野における協力覚書（MoC）』　https://www.digital.go.jp/news/ddb60a5d-dbda-4b76-8eee-c9a0a5e76ccd