【情報処理安全確保支援士試験 令和4年度 春期 午後1 問3 No.2】

情報処理安全確保支援士試験 令和4年度 春期 午後1 問3

【出典:情報処理安全確保支援士試験 令和4年度 春期 午後1 問3(一部、加工あり)】

[身元確認]
 Bさんは、身元確認についてどのような方法があるのかを調査したところ、”犯罪による収益の移転防止に関する法律施行規則”(以下、犯収法規則という)に規定があることが分かった。犯収法規則の規定を参考にすると、銀行側が利用者の身元確認を行い、かつ、銀行がその記録を保存していることをL社が確認すれば、Qサービスの(a:アカウント作成)時の身元確認を実施したとみなせるとBさんは考え、C課長に相談した。
 C課長は、表1の銀行口座とのひも付けでは、キャッシュカードの所持が確認されず、暗証番号で照合されるだけなので、攻撃者が他人の氏名でアカウント作成を行い、①他人の銀行口座とのひも付けを行うリスクを低減するためには、L社が表1の(a:アカウント作成)時に身元確認を実施する必要があると指摘した。
 L社には対面で身元確認できる店舗がなく、身元確認の手続を郵送で行うことになると、利用者がQサービスを利用するまでに時間が掛かる。Bさんは、身元確認をオンラインで行う方法をC課長に相談した。
 C課長は、将来、Qサービスには利用者間の送金機能などが追加されることを考慮し、金融庁が公表している”犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要”の個人顧客向けの本人確認方法が採用できると考えた。そこで、表2のように整理してBさんに説明した。

 次は、表2についてのBさん及びC課長の会話である。

Bさん:項番5のセキュリティが強固だと思うので、項番5をQサービスに導入する場合の本人確認方法について詳しく教えてください。

C課長:マイナンバーカードには、地方公共団体情報システム機構が発行した署名用電子証明書などが格納されている。Qサービスの利用者は、NFC機能のあるスマートフォンを利用して、マイナンバーカードを読み取り、署名用電子証明書のパスワードをQアプリに入力する。入力されたパスワードが正しい場合、マイナンバーカード内の(d)でQサービスの申込用のデータにデジタル署名し、当該デジタル署名、当該データ本体、署名用電子証明書をQサービスに送付する。Qサービス側で、デジタル署名が利用者本人のものであり、改ざんされていないことをQサービスの利用者の(e)を用いて確認した後、地方公共団体情報システム機構に(f)を確認する。

Bさん:項番5の方法では、利用者がNFC機能のあるスマートフォンとマイナンバーカードを用意する必要があるのですね。それならば、項番1の方が、利用者にとっては利用しやすい方法と言えそうです。項番1では、注意点はありますか。

C課長:項番1では事前に準備した他人の画像を用いられないようにする必要がある。

Bさん:どうすればよいでしょうか。

C課長:完全な対策はないが、政府が犯収法規則の改正において意見公募を実施した際の”警察庁及び共管各省庁の考え方”に記載されている方法を採用すると、”Qアプリが毎回ランダムな数字を表示し、利用者が(g)して、直ちに送信することによって、L社では提出された画像が事前に準備されたものではないことを確認する”という方法が考えられる。この方法で身元確認しよう。

Bさん:分かりました。

下線①について、攻撃者はどのようにして他人の銀行口座とのひも付けを成功させるか。その方法を二つ挙げ、それぞれ30字以内で述べよ。:漏えいしている口座と暗証番号を悪用する方法/口座番号と暗証番号をだまして聞き出し、悪用する方法

C課長は、表1の銀行口座とのひも付けでは、キャッシュカードの所持が確認されず、暗証番号で照合されるだけなので、攻撃者が他人の氏名でアカウント作成を行い、①他人の銀行口座とのひも付けを行うリスクを低減するためには、L社が表1の(a:アカウント作成)時に身元確認を実施する必要があると指摘した。
 表1の銀行口座とのひも付けを確認します。

 これによると利用者の氏名と口座番号、キャッシュカードの数字4桁の暗証番号の情報があれば銀行口座とのひも付けが完了します。
 攻撃者が他人の氏名でアカウント作成を行い、当該氏名の口座番号、暗証番号の情報を不正に入手することで銀行口座とのひも付けが完了するリスクがあるということです。
 口座番号、暗証番号の情報を不正に入手する方法としては、アンダーグランドで取引されているフィッシング詐欺などで漏えいした情報を利用したり、オレオレ詐欺などで情報をだまして聞き出す方法があります。

C:写真

c)付き本人確認書類の画像」「c)付き本人確認書類のICチップ情報
 表2(個人顧客向けの本人確認方法)は、「C課長は、将来、Qサービスには利用者間の送金機能などが追加されることを考慮し、金融庁が公表している”犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要”の個人顧客向けの本人確認方法が採用できると考えた。」に基づき整理した内容ですが、「犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要」について知らなくても、私たちが各種オンラインサービス利用時に行う本人確認の方法と照らし合わせて考えればいいでしょう。
 本人確認書類として例えば運転免許証には、顔写真とICチップが内蔵されています。
 「次の2点を用いた方法」として、いずれも上記と「容貌の画像」つまり自分の顔を撮影した写真とで照合することから、画像付き本人確認書類であることが分かります。

d:秘密鍵、e:公開鍵、f:署名用電子証明書の有効性/署名用電子証明書の失効の有無

入力されたパスワードが正しい場合、マイナンバーカード内の(d)でQサービスの申込用のデータにデジタル署名し、当該デジタル署名、当該データ本体、署名用電子証明書をQサービスに送付する。Qサービス側で、デジタル署名が利用者本人のものであり、改ざんされていないことをQサービスの利用者の(e)を用いて確認した後、地方公共団体情報システム機構に(f)を確認する。
 デジタル署名に関する知識問題ですね。
 デジタル署名で用いる鍵は秘密鍵で、当該デジタル署名をペアとなる公開鍵で復号して、利用者本人のもので改ざんされていないことを検証します。
 Qサービスの場合は、申込用のデータにマイナンバーカード内の秘密鍵でデジタル署名し、ペアとなる利用者の公開鍵で復号して申込用のデータを確認します
 Qサービスに送付されるものにはもう一つ署名用電子証明書がありますが、これは「マイナンバーカードには、地方公共団体情報システム機構が発行した署名用電子証明書などが格納されている」とあるように地方公共団体情報システム機構(J-LIS(Japan Agency for Local Authority Information Systems))が発行しています。
 J-LISでは、公的個人認証サービスとしてOCSP(Online Certificate Status Protocol)やCRL(Certificate Revocation List)といった仕組みを提供していて、署名用電子証明書の有効性や失効の有無を確認することができます。

g:そのランダムな数字を紙に書き、その紙と一緒に容貌や本人確認書類を撮影

完全な対策はないが、政府が犯収法規則の改正において意見公募を実施した際の”警察庁及び共管各省庁の考え方”に記載されている方法を採用すると、”Qアプリが毎回ランダムな数字を表示し、利用者が(g)して、直ちに送信することによって、L社では提出された画像が事前に準備されたものではないことを確認する”という方法が考えられる。
 「警察庁及び共管各省庁の考え方」は知識として分からなくても、問題文から推測できそうです。
 項番1は本人確認書類を用いた方法で「画像付き本人確認書類の画像」と「容貌の画像」を使用しますが、「項番1では事前に準備した他人の画像を用いられないようにする必要がある。」という注意点があります。
 これは、攻撃者が例えばFacebookなどからなりすましたい人の画像を入手して、不正に本人確認することが考えられます。
 対策として「提出された画像が事前に準備されたものではないことを確認する」とあることから、Qアプリが表示する毎回ランダムな数字を画像に反映できれば良さそうです。
 前後の文章から、利用者が当該数字を「画像付き本人確認書類の画像」と「容貌の画像」に添えて撮影すればいいでしょう。