ハッカーから見たマイナンバー
topへ
おすすめ記事
emyuu cms Freebsd12.0LAMP Freebsd10.0LAMP

2015-11-22 14:16:13

ハッカーから見たマイナンバー

マイナンバーが来た、あまりにも稚拙なシステムで大問題になるのが目に見えているので
想定外と言わせないために書いておく

問題点
セキュリティが極めて脆弱なシステムが将来的には人生を左右するものになる可能性がある。
お役所の利便性だけで導入しても、これから書くことへ、行政、警察が対応しなければ
ならなくなれば、負担が増えるだけ。


利便性があってセキュリティが高いというのは相反するものなので実は構築不可能。

いい例が共通ID、どのサイトでもIDとPASSWDが同じで入れるが、漏洩した場合の被害は甚大。
sonyのようにサイト側だけセキュリティを高めても一般ユーザーが難解すぎてわからず、
利便性と偽サイトやうそサイトでセキュリティが弱まる。

そもそも、オレオレ詐欺に引っかかる人が多いこの国にユーザー側が行政が思ったような使い方をしてくれるわけがない。


ハッカーというか、(本来ハッカーはいいひと)クラッカーがやりそうなこと。

偽QRアプリ
今回個人カード発行を利便性よくするためにQRアプリでスマホから申請ができる。
QRアプリというのは一般人には何かよくわからないと思うが、インターネットのブラウザでURL
を入れる行為をスマホのカメラでとっただけで該当のURL先に誘導するだけ、
あの四角い中にはURLとマイナンバー情報が入っているわけだ。
そこで、悪い人はこんなソフトを公開してくるだろう。
通常は何の変哲もないQRアプリ、マイナンバーのQRコードのときだけ、偽サイトに誘導
本物のURLは最初から決まっているのだから、そんなアプリは簡単にできてしまう。
又、何故パソコンのURLが併記されていないかもチェックw
ここが弱点なんですよ。
たとえば、dos攻撃というおなじみの攻撃方法でもスマホアプリにアクセスを制限してしまえば
サーバー落ちは回避されます。
なんせ一億人が使うサーバーですから、グーグルにでも頼まなきゃ簡単に落とされてしまうし
IPでの制限も通常利用者が多すぎるがゆえに不可能。
今回のマイナンバーに反対しているひとたちは、スマホから何回もカメラでQRコードをアクセス
しては消す行為をするかもしれませんね、そうすれば携帯各社のIPが少ないがゆえに
制限をかけると一般ユーザーがサーバーがダウンしているぞとお怒りに。

マイナンバー裏サイト
マイナンバーの個人情報を売買するサイトが出てくる。
お金持ちのひとや風俗店などで税金のためにマイナンバーを申告しないといけなくなると
特に風俗店など誰に払ったことにしてもいいわけだから、マイナンバーを買ってきて
その人の番号で支払ったということになる。
デリヘルなどの風俗店はほとんど取っ払い、日払い、その日だけ働くなどが多く
マイナンバーなど教えなければいけなければそもそも女の子が集まらない。
お金に困った人たちは逆にマイナンバーを売りかねない。
それなのに、このシステムはおめでたいことに、このマイナンバーは絶対教えないでください
と案内している。
これだけ重要なことをするのに性善説で物事を進めている。


マイナンバー確認サイト(たぶん名前はマイナンバーwhois)
番号をいれただけでどこの誰なのかわかってしまうサイトが日本の法律が届かない他国で現れる。
今でも電話番号をいれただけで誰かでてくるサイトはある。
マイナンバーの漏洩がなければ無理だろうと思うかもしれないが、QRアプリのようなアプリ
やこのマイナンバー確認サイトを利用するとき利用者のマイナンバーを書かせるシステムで
あればマイナンバーはどんどん蓄積される、又現在年齢確認のためにエロサイトにクレジット
カードの番号をかかせるサイトが多いが今後ここがマイナンバーになる。
エロ見たさにマイナンバーを入れてしまう人が続出するかもしれない。


マイナンバーの漏洩
偽漏洩なども起こる可能性がある、そもそもが適当な12桁の数字の羅列、ちょっとできる
プログラマなら数字の羅列と偽の住所や名前の羅列のファイルを作るソフトが現れて
それをネットのそこらじゅうに流されれば、偽者のマイナンバーであっても
本物かどうかの捜査を警察や行政がしなければいけなくなる。
こちらは機械じかけであるからいくらでも簡単にできるが、確認側はもしかしたら
本物であるかもしれないから確認しなければいけない。
そんななかで一旦本物の漏洩などがおこれば捜査するのも困難を極める。

 

テロ

重要なものになればなるほどテロに狙われる。
ちなみに日本はテロに弱い。
いくらハッキングが困難であっても、物理制圧されたらおしまい。
特にこういう重要な物がおいてあるデータセンター深夜の当直は僕が昔やってた頃は
一人だけだった。深夜サーバーが壊れたからと業者をよそって入れば
案外簡単に入れる所が多い。

 


結論
マイナンバーを本当に導入するならば、その人の将来すら左右する問題であるから、
網膜スキャンや指紋認証、DNA登録ぐらいするほどのセキュリティがなければ
こんな重要なシステムの根幹をつくるべきではない。
クレジットカードがいい例 セキュリティがなく便利すぎるものは大変なことになるし、
後で構築しなおすとなると超大変。

最初はそんなに重要なものでありませんよと騙しうちのように始まってしまった。
何十年後はマイナンバーを大企業がすべてもって凄いことになってるでそう。
そう大企業にすべての情報がより簡単に集まっていく。