朴槿恵大統領のIDも流出 韓国が「住民登録番号制度」再編成へ

江添 佳代子

November 10, 2014 08:00
by 江添 佳代子

韓国が、「住民登録番号制度」を根底から見直す可能性が濃厚となってきた。その理由は、同国に対する大規模なサイバー攻撃が繰り返されたことにより、国民の住民登録番号(Resident Registration Number, RRN いわゆる国民総背番号制の番号にあたるもの)が大量に流出したためだ。韓国政府は2014年9月29日、当制度の改訂案を検討するための公聴会を開いた。有識者たちの意見も「もう作り直す以外に策はない」という方向へと固まりつつあるようだ。

韓国では2004年から現在までに、eコマースのプラットフォーム、ビデオゲームサービス、3つのクレジットカード企業などを標的とした、数々の大規模サイバー攻撃が起こっている。専門家によると、いまや全国民の80%の住民登録番号が、悪意あるハッカーたちに掌握されているという。

韓国はITの分野に強い国、とりわけスマートフォンのシェアが圧倒的な国として広く知られてきた。IT専門調査会社IDCによると、2013年の世界のスマートフォン販売台数のうち、Samsungが占める割合は32.3%で、Appleの13.0%を大きく突き放している。また、韓国国民のインターネット接続率とスマートフォンの普及率はいずれも約80%と極めて高く、インターネットの平均速度も世界1位である。そんな「IT先進国」としての韓国のイメージは、今回の住民登録番号改正案に関する発表で、いくらか損なわれたかもしれない。

しかし海外からの評判よりも恐ろしいのは国内の影響だ。「80%の住民登録番号が流出した」という深刻さは、他国の人々には想像しづらい。例えば米国のSSN(Social Security Number)や、カナダのSIN(Social Insurance Number)も、国民の一人ひとりに割り当てられた一意的な番号であるため、それらは機密性の高い情報と考えられているが、韓国の住民登録番号はそれらよりもはるかにセンシティブだ。その理由の1つは、番号制度そのものの古めかしい構造にある。

韓国の住民登録番号は1968年、個人情報が今ほど重要視されていなかった時代から利用されてきた。それは13桁の数字から形成されており、最初の6桁は生年月日、7桁目は性別と国籍を示す番号になっている(1950年1月1日生まれの韓国籍の男性なら、最初の7桁は必ず「5001011」となる)。8桁目から11桁目は、出身地を示す番号だ。つまり、その番号には持ち主の誕生日や性別、国籍、出身地が刻まれており、それは死ぬまで変更できない。さらに残りの2桁も「同じ日に同じ街で生まれた同性の人物を区別するための通し番号」と「他の番号が正しく設定されているかどうかをチェックする番号」なので、ランダムな数字は1つもない。

韓国の住民登録番号には、もう1つ大きな問題がある。それは「これまで様々なサービスで無闇に提示させられてきた」という点だ。韓国では、いたる場面で(例えば韓国のWebサービスのアカウントを取得する際、インターネットカフェを利用する際、あるいはSIMカードを購入する際など)、その番号の入力が「必須項目」として要求されてきた。したがってハッカーは、「eコマースサイトを攻撃して入手したデータ」と「ゲームサービスを攻撃して入手したデータ」を住民登録番号ごとに管理するだけで、ひとりの人間に関わる情報をどんどん補完することができていたはずだ。現在、危殆化されている住民登録番号に、多種多様な情報が紐付けされている可能性は決して低くないと思われる(ちなみに米国やカナダでは、正当な理由もなくSSNやSINを要求する行為は法に触れる可能性が高い)。

そんな韓国が今、全く新しいシステムの構築を考えるのは、当然の流れだろう。なにしろ「被害者を受けた全国民の80%」には、韓国大統領の朴槿恵も含まれていたのだ(そのおかげで今回の公聴会が早急に行われたと噂する人々もいる)。アジアのインターネットの父と呼ばれているKilnam Chonも「この番号の問題は、完全な解決法を見つけられそうにないところまで拡大した」と明確に述べている。

だが、そのシステムのオーバーホールが途方もなく大がかりなものになることは間違いない。韓国政府が全国民に新たな番号を発行するには、およそ6億5000万ドルの経費がかかると見られている。韓国の企業にとっても、おそらくは10億ドル単位の支出となるだろうと「The Register」は記している。もちろん費用だけではなく、その作業に費やされる時間や手間も膨大になるはずだ。

そうまでして新しい番号を発行しても、漏洩したデータが回収できるわけではない。生年月日つきの国民データの8割は、すでにハッカーの手に渡っている。それらに関しては、国民の一人ひとりがクレジットカードを再発行するなどの手段で、少しでも「紐付け」を解いていくしかない。そうこうしている間にも、新たな番号を収集したデータベースが流出し、「古い番号と新しい番号の紐付け」が行われてしまったなら、国を挙げての努力も無駄になる。それならばいっそのこと、住民登録番号そのものを全廃する方向で安全対策を行った方が良いのではないか? と苦笑したくなる向きもあるだろう。しかし、今回の騒動は日本にとっても他人事ではない。日本でも2016年から、「マイナンバー制度」の利用が始まろうとしているからだ。

現段階では、マイナンバーの民間利用は禁止される予定なので、それを日本のインターネットカフェやゲームサイトが要求することは違法となるだろう。また、いまどき生年月日を丸出しにした安直なマイナンバーが発行されるはずもない。しかし、その番号は年金や健康保険、パスポートの情報を一元化したものになる可能性が高い。さらには、マイナンバーカードにクレジットカードの機能を付帯させようといった案も検討されている。

「個人情報を保有するのが政府機関と金融機関だけなら安心だ」と思えるような、そんな牧歌的な時代は遠い昔に終わっている。世界の政府機関や金融機関のサーバーが侵害される事件は、いまやニュースを追うだけでも一苦労となるほどの頻度で起きている。日本が韓国の二の舞にならないためには(あるいは韓国よりも悲惨な結果を生まないためには)、マイナンバーの動向と、自身の番号の管理に、国民一人ひとりが注意を向ける必要があるだろう。

ちなみに韓国では2011年、個人情報保護法の改正により、「企業の管理責任者が情報漏洩のリスクを認識していたにもかかわらず、それを放置して漏洩事故が起きた場合、管理責任者らに明確な責任が問われる」ようになった。さらに2014年8月の改正では、「たとえ管理責任者が、充分と思われる安全対策を行っていたとしても、漏洩の事故が起きた際には、CEOを含めた管理責任者らに懲戒や更迭等のペナルティが科される」ように変更された。いまのところ日本では、そのような厳しいルールが制定される動きはないようだ。

(本記事は、2014年11月10日発行 メールマガジン『電脳事変~サイバーインシデント・レポート~ vol.045』から再録したものです)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…