Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

本人確認もゼロトラスト

運転免許証の偽造が取り上げられていました。

mainichi.jp

 

捜査関係者によると、5人は同じサイトで偽造運転免許証を注文していた。料金は、ネット上で番号を入力する個人情報不要のウェブマネーで支払う仕組み。サイトの表記は日本語だが、サーバーは海外に置かれていて、運営者の拠点把握は困難という。捜査幹部は「摘発を逃れるためで、偽造品は中国で作っている」とみる。

 このサイトは注文から約1週間で手元に届くとし、「本物と99・9%一致」とうたう。記者が連絡先のフリーアドレスにメールを送ってみると、手付金5000円の支払いを指示され、希望する有効期限や免許の種類を聞かれた。違法性を問うと「大事故が起こらなければ大丈夫です」と返信があった。

 

運転免許証は偽造防止のため1973年に透かし模様が入り、2009年から順次ICカード化されている。懐中電灯などで光を当てれば透かし模様やICチップの有無が分かる。だが、携帯電話や口座の契約時に身分証明書で本人確認している販売店や金融機関の窓口では、そこまで確認されていないのが実情だ。一方で捜査幹部は「透かしとICチップがなければ偽造は難しくない」と話す。

 携帯電話会社などが加盟する電気通信事業者協会(東京都)の担当者は「顔写真や、契約書の生年月日と年齢が合っているかは確認するが、身分証明書が本物かまでは確認していない」と語る。ある地銀の支店長は「身分証明書の偽造を疑っていたら窓口が回っていかない」と漏らした。

毎日新聞記事より引用)

 

◆キタきつねの所感

記事にあったYouTube映像はもう削除されたのか見つけられませんでしたが、Googleで検索するだけでも結構な海外サイトが偽造+免許で引っかかります

偽造自体は、フォントが特殊とは言え、それっぽい紙ざわりの台紙と加工をすればインクジェットプリンタでそれらしき画像を加工するのは、そう難しくないと思います。

 

f:id:foxcafelate:20190114184602j:plain

 

そもそもICカード化をした際に、偽造が困難になったはずなのですが・・・運用がそこまで確認しない、つまり手抜き運用な点を突かれていると言えるかも知れません。記事にある携帯電話の契約や、銀行の本人認証が甘い事は、携帯電話の入手や、偽装銀行口座の入手・・・オレオレ詐欺などの、別な犯罪被害につながる可能性がある事を意味します。

 

郵便局ですら、運転免許証の確認にライト確認をしています。それすらもしてない運用をしている事業者が狙われているといっても過言ではないかと思います。

とは言え、ライトでの透かし+チップ存在確認だと、そこも偽装してくる(透かしっぽい印刷+ダミーのチップを入れる)可能性がありますが、ICチップを読み取る事で運転免許証の真贋判定をする事は可能です。

例えばデンソーウェーブが以下の様なものを以前から出してます。

f:id:foxcafelate:20190114190057j:plain

https://www.denso-wave.com/download/etcp/file/IC-drive.pdf

 

そう考えると、単にオペレーション負荷や導入コスト負担を嫌がって、本人確認が厳格に行われてないのは、(携帯電話販売・銀行等の)事業者側に責任があるのではないでしょうか。

 

参考:

trickjp.info

 

 

é転å許証ã®ã¤ã©ã¹ãï¼ç·æ§ã»ã´ã¼ã«ãï¼

 

更新履歴

  • 2019年1月14日PM(予約投稿)