225万円のロレックス、偽造マイナカードで勝手に購入 “目視”ベースの本人確認が抜け穴に

写真はイメージ

　スマホを勝手に機種変更される、225万円するロレックスを勝手に購入されるなど、偽造マイナンバーカードを使った被害が後をたたない。

　東京都の風間ゆたか都議は、4月17日に偽造マイナンバーカードを悪用されて携帯電話を乗っ取られたとXで明かした。その後もPayPayで勝手にチャージや決済の操作をされた上、クレジットカードで10万円を超える被害にあったという。

　大阪府八尾市の松田憲幸市議は5月2日、偽造マイナンバーカードを使った犯罪に巻き込まれたことをやはりXで明かした。4月30日に偽造カードを使ってスマホを機種変更されていたことがわかり、5月1日にはオンラインショップで225万円もするロレックスの腕時計「デイトナ」を購入される被害にあったという。

　なぜこんなことが起きるのか。テクノロジーを悪用した犯罪に詳しいITジャーナリストの三上洋氏は、携帯電話会社やショッピングサイトの本人確認が簡素になっていること、“闇バイト”を使った犯罪構造によって「顔写真付き証明書」が偽造しやすくなったことが背景にあると推測する。

偽造マイナンバーカードを使ったSIMスワップ詐欺

──　スマホの乗っ取りについてあらためて教えていただけますか。

　議員さんが「機種変更」と言っていますが、これはSIMの再発行の問題です。SIMの再発行をするということは契約そのものを丸ごと乗っ取っているわけで、SIMハイジャック、SIMの乗っ取りという詐欺のひとつです。

　SIMスワップ詐欺については2022年にかなり起きていました。このときに多発していたのはおおむね運転免許証の偽造です。運転免許証を偽造されて、ネットバンキングなどでお金を盗みとるという事件が多発していたんですね。

　それについては2022年9月に警察庁と総務省が本人確認の厳格化を要請しました。その期限後の2023年5月以降、SIMスワップはほぼなくなりました。恐らく、本人確認の方法を運転免許証の目視確認からICチップによる確認に切り替えたのでしょう。これによって偽造免許証の悪用はできなくなりました。

　しかし、ここに来て犯人グループが目をつけたのがマイナンバーカードです。一部の携帯電話会社では、マイナンバーカードを使った本人確認は「目視のみ」。それなら偽造してしまえばいいということになったわけです。

「目視」を前提とした本人確認の仕組みを悪用

──　犯人グループはどんな手口を使ったと考えられますか。

　犯人グループは闇バイトなどの顔写真を使ってマイナンバーカードを作成していました。マイナンバーカードに書かれている情報は氏名、住所、生年月日、性別だけ。議員であれば公開されている情報がほとんどなので、偽造は簡単だったのでしょう。実際今回の事案では、議員さんの話を聞いている限り、犯人グループは氏名、住所、電話番号くらいしか把握していなかったようです。

　松田市議の事案で、犯人グループは偽造マイナンバーカードでSIMを乗っ取ったあと、まずPayPayを乗っ取り、まずは電話料金合算でのチャージをしています。クレジットカードでもチャージされていました。PayPayはタクシー代などに使われています。その次の被害がショッピングサイトです。推測ですが、犯人グループはSMSを使った認証を悪用し、パスワードをリセットするなどして被害者議員になりすまし、オンラインショップでロレックスのデイトナを購入したのではないでしょうか。購入には信販会社のローンが使われていましたが、ここでの本人確認も、おそらくマイナカードの撮影だけで済んでいたものと推測します。

──　マイナンバーカードを撮影するだけの本人確認というのはどういうものでしょうか。

　「eKYC」という本人確認の仕組みですね。すべての企業がマイナンバーカードのICチップを使った認証をするわけではなく、スマホでのカード撮影と顔写真撮影による簡易的な本人確認を使っているところもあります。なぜその方式が通ってしまっているかといえば、これまではマイナンバーカードの偽造というものがなかったので、対策が後回しになっていたところがあるのではないかと思います。ただし、偽造カードが使えてしまうのは簡易的な仕組みだけ。マイナンバーカードのICチップ偽造は技術的に不可能に近いです。

抜本的な対策として必要なのは本人確認の強化

──　被害にあわないためにはどうすればいいのでしょうか。

　一般ユーザーとしては対策のしようがないのが現状です。住所、氏名、生年月日はさんざん流出しており、場合によっては公開情報として手に入る場合もあるので、防ぎようがありません。ただし間接的にはスマホの安全性を高めるという意味で、ウェブサービスを使うとき、パスワードの使いまわしをやめる、フィッシングサイトにだまされないようにする、安全性の高い認証方法を選ぶといった対策が考えられます。具体的には、生体認証などを使って、特定の端末でしかログインできないようにする「パスキー認証」を使うことです。なりすましがされにくくなります。

──　企業や国にはどんな対策が求められますか。

　抜本的な対策として必要なのは、本人確認の強化です。携帯電話会社での本人確認はマイナンバーカードの目視確認などではなく、ICチップを使った公的個人認証にしてほしいですね。

　もうひとつはネットサービス会社がSMS認証に頼らないでほしいということです。現在、多くのサービスでSMSを使った個人認証をしています。しかし、SIMスワップが多発している現状、SMSは認証方法としてはよろしくない。SMSではなくコード生成アプリなどを使うようにすることで対策になります。

　さらに極端なことを言えば、マイナンバーカードについても「ナンバーレスマイナンバーカード」があってもいいという意見もあるんです。券面に何も書いていない「公的個人認証カード」があればいいと。ICチップさえ入っていれば、住民票の請求などもできるわけですから。

──　今回の事案はマイナンバーカードというより“本人確認”の問題なんですね。

　これまでは顔写真付きの身分証明書で信用できる社会だったんですよね。性善説で「顔写真付きの身分証明書なら問題がない」という前提で動いてきた。これまで犯罪グループは捕まるリスクとお金を儲けるバランスを天秤にかけて、“顔出し”の犯罪はしてきませんでした。しかし、匿名通信アプリや飛ばしのケータイで簡単に足切りができる闇バイトというコマができたことで、捕まってもいい闇バイトの顔写真付き身分証で無茶な犯罪ができるようになってしまったんです。その結果として顔写真付き身分証がまったく信用できなくなってしまったということがあります。今回の事案の背景にあるのは、マイナンバーカードというより「顔写真付き身分証」を前提とした社会構造の問題ではないでしょうか。