【マイ・オピニオン】
「ネットの通信暗号化 信頼性崩壊」 “マイナンバーをクラウドに”って、大丈夫?
暗号化通信に脆弱性が見つかった
「ネットの通信暗号化、信頼性崩壊」――これは2014年4月、朝日新聞に掲載された記事の見出しだ。
事の発端は、インターネットの通信暗号化ソフト「オープンSSL」に欠陥が見つかり、個人情報流出の恐れが騒がれたというもの。
14日、約150万人の登録会員がいる英国の大手育児サイト「マムズネット」は、OpenSSLの欠陥が悪用され、会員情報に不正なアクセスがあったと発表した。同サイトによると、10日にソフトの欠陥に気づいて修正したが、会員がログイン時に入力するユーザー名や電子メールのアドレス、パスワードが読み取られた。
(中略)
カナダ歳入庁でも8日にこの欠陥に気づいてオンラインサービスを停止したが、納税者約900人の社会保障番号が何者かに削除されたという。
(朝日新聞―ネットの通信暗号化、信頼性崩壊より)
「オープンSSL」とは、インターネット通信販売やメールフォームなど、全世界のウェブサイトのおよそ3分の2で利用されているデータ暗号化ソフトのこと。
このソフトに脆弱性が見つかった。
ハートブリード(Heartbleed)/2014年4月に
発覚した通信暗号化ライブラリ「OpenSSL」
のソフトウェア・バグのこと
通称「ハートブリード」(心臓からの出血)と呼ばれる脆弱性。専門家によると、この問題はおよそ2年間気付かれずに潜んでいたとみられ、パスワードやクレジットカード情報といった個人情報が盗まれる恐れがある。実際、高度なハッカー集団がインターネット上で大規模なスキャンをかけて、この脆弱性が存在するサイトを探していると専門家は指摘する。
(ロイター―ウェブ暗号化ソフトに重大なバグ、個人情報流出の恐れより)
実際に、日本でもオープンSSLが使われているサイトを狙ったサイバー攻撃とみられる通信が4万件以上、警察庁で検知していたという。
さらに、スマホアプリにも影響を与えているとして、アプリを使った購入や銀行取引を控えるようにとセキュリティー会社が呼びかけるほど、波紋は広がった。
ユーザー側に為す術なし。マイナンバーは?
問題が深刻なのは、オープンSSLはウェブサイトのホストサーバーに使用されているソフトウェアであり、管理者側が問題を解決しない限り、サイト訪問者は知らず知らずの間にパスワードなど重要データをハッカーに渡してしまう恐れがあるということだ。セキュリティソフト会社エフセキュアのミッコ・ヒッポネン氏は、この問題でユーザー側にできることは何もないと語る。
(ロイター―ウェブ暗号化ソフトに重大なバグ、個人情報流出の恐れより)
パスワードや重要な情報は、必ずSSLを使って暗号化を行わなければならない。もはや常識である。だが、SSLで暗号化しているから安心安全と思っていたものが、ひとつの不具合(バグ)によって一転、危険にさらされる。
ひるがえって、マイナンバーはどうか。セキュリティーに穴はないと言えるか。オープンSSLに限った問題としてよいのか。
こうした事例からも、マイナンバーをクラウドに預けることは、セキュリティー面においてやはりリスクが高いことになる。
危険、危険とあおるわけではないが、インターネットに100パーセント安全はないことは、もはや周知の事実とも言える。マイナンバーをクラウドというインターネット上に預けることは、利便性は高くとも危険と表裏一体であることを、いま一度肝に銘じなければならない。
