その後いくつか調べた結果、日本国内でも昨年からSIMスワップの事例が出ていたようだ。
上記の例だと、氏名と生年月日の確認を行う際に運転免許証を使用したが、この免許証が偽造品だった模様。ということは、本人確認に免許証のICチップに入ってる券面情報を使えば良かったのだろうけど、それは行われていなかったようだ。
- 本人確認書類の検証方法はどこまで厳格化するのがいいんだろう? NIST SP800-63AのIAL3では「有資格者によるevidenceの検証」が求められているが、じゃあ有資格者とは何か、どこまでやったら検証OKかは定められていないのでは?*1
- ICチップの情報が読み取れない場合に「なんだか調子が悪くて読み取れないんです、けど券面は正しいからOKなんです」として業務運用上通るのか? 「運転免許証が壊れてます、本人確認ができません」と返すのが正しい返し方ではあるが、運転免許証の外形から見て何がどうだったら「壊れている」のか、何がどうだったら「壊れていない」のかは運転免許証の所有者からはわからないし、ICチップを使わない場面では証明書として使えていたわけで、「なんであっちじゃ使えたのにこっちじゃ使えないんだ」をどう防ぐか?というのが課題になりそう。
- ところで、運転免許証のICチップの券面情報が読めない問題の防止策として、暗証番号を券面にある番号に変更する運用にしたと聞いたけど、2020年に発行した自分の運転免許証だとその運用になってなくて、暗証番号は利用者設定だったんだよね。あと、実際に警察官が運転免許証で身元確認を行うときにICチップの情報を使うケースってあるのかな?PIII端末にNFC機能がついていれば読み取りは可能だと思うんだけど……
なお、SIMスワップの件数が増加して以降、警察庁が「本人確認の強化を携帯電話事業者に要請」したようだ。
去年の記事と見紛うSIMスワップ記事。神戸大の先生が不勉強でアレですが、日本でも昨年9月に本人確認の強化を携帯電話事業者に要請し、被害の歯止めにつながったようです。最盛期だった昨夏のSIMスワップ事例が延々と使いまわされているのも、そんな事情があってからなのかもしれません。 https://t.co/gWEVmnXG0Y pic.twitter.com/jmdzdPcr8Z
— Naomi Suzuki (@NaomiSuzuki_) 2023年11月17日
ただ、具体的にどのように確認するよう要請したのか?はレポート*2には書かれていなかった。
*1:運転免許証であれば、番号だけ確認するウシジマくんレベルでの偽造確認もあれば、ICチップでの偽造確認もあるはず。
*2:https://www.npa.go.jp/policies/evaluation/04jigo-hyouka/jisseki_hyouka/r4_jisseki.pdf
