Zenn
Open4

マイナンバーカードの機能をスマホに搭載するって何だよ

okuokuokuoku

例えば、スマホをOSから自作したとしてマイナンバーカードになれるの?

okuokuokuoku

総務省の資料

"マイナンバーカードの機能のスマートフォン搭載等に関する検討会" として検討会を開催していた。

とりまとめとして、大量のいらすとや付資料を公開している。

https://www.soumu.go.jp/main_sosiki/kenkyu/mynumber_smartphone/index.html

https://www.soumu.go.jp/main_content/000809835.pdf

これによると、要するに "公的個人認証の証明書としてGP-SEを利用できるようにする" ということらしい。そう書けよ。。

マイナポータルアプリがSafetyNet Attestation API( https://developer.android.com/training/safetynet/attestation?hl=ja )を使うことで、スマホ側のroot化やcustom ROMを検出し動作しないようにできる。このAPIはGoogleが正規の動作環境に対して署名を発行するもので、偽造アプリはGoogleの署名を偽造できないため弾かれることになる。

(SafetyNet は廃止が予定されている: https://developer.android.com/training/safetynet/deprecation-timeline 今のところ、SafetyNetについてもPlay Integrity APIについても、古い端末との互換性のために"ごまかし" が効くようになっている。)

https://lemu.blue/2133

資料からは読み取れないが、原理的に、GP-SE側にインストールされるAPと政府のサーバが直接交信することになる。root化の排除で防ぎたいのは、偽マイナポータルアプリから正規の証明書が発行できてしまう事態だろう。GP-SEのAP自体は生体認証を強制できないため、それらのロジックがスマートフォンのアプリ側に入ることになる。

また、これらを実現するためには、スマートフォンはネットワークに接続されている必要がある。

何が必要になるか

仮にスマホOSを自作した場合、 マイナポータルアプリ (マイナンバーカードとのI/FやGP-SEとのインターフェースを担当)を何らかの方法で提供される必要がある。マイナンバーカードとのI/Fのために、FIDOのような既存のWebブラウザ向け認証機構は利用できない。

アプリはまぁ適当に用意するとして、その辺からJavaCard準拠のSecure Elementを買ってくる必要がある。例えばNXPのSE050とかで良いの。。?

https://www.nxp.com/products/security-and-authentication/authentication/edgelock-se050-plug-trust-secure-element-family-enhanced-iot-security-with-high-flexibility:SE050

FIDOじゃダメなのか

FIDOもAAL3レベルの認証を提供することはできる。ただし、そのためには認証器自体を認証する必要があり、効率よくマルチベンダを実現することができない。

現状の総務省の解法であれば "GP-SEを搭載するAndroidスマートフォンをroot化せずに使用" という限定によって求めるレベルのものを実現できる。FIDOでもこれを実現することは原理的には可能だが、技術的に成熟しているとは言い難い気はする。

okuokuokuoku

保険証利用

https://www.mhlw.go.jp/stf/newpage_08277.html

マイナンバーカードを使う場合、 カードに記録されている顔写真データの顔認証 で本人確認をする。2Dの顔写真データで顔認証するのはあんまり良いアイデアでない気が。。顔認証ができない場合はPIN、またはオペレータの手動になる。

Q5.医療機関や薬局での受付はどのようになりますか。
A5.◎マイナンバーカードの場合
 受付時に、患者自らがマイナンバーカードを窓口に設置されたカードリーダー(※)に置きます。
1.「顔認証付きカードリーダー」の場合は、
・顔認証(カードのICチップ内の写真データと窓口で撮影した顔を比較) 又は
・患者が4桁の暗証番号を入力
により、本人確認を行います(窓口職員の目視も可)。

https://www.mhlw.go.jp/content/10200000/000577627.pdf

そもそもリーダー側の顔認証とか窓口職員の目視で認証が通るってことは、 スキミングでデータが読み取られる って事なんじゃないの。。?

(スマートフォンを保険証として利用する場合は、そもそもリーダーに置くことができないのでQRコード決済のような方法が想定されている。が、今のところ具体的にどういうものを検討しているのかの資料は見つけられなかった。マイナポータルアプリからよしなにやれば良いので大した問題では無いけど。。)

実際の処理フローや端末実機の操作マニュアル等は公開されている。

https://www.mhlw.go.jp/stf/newpage_08280.html

https://www.iryohokenjyoho-portalsite.jp/

okuokuokuoku

マイナちゃん

https://www.digital.go.jp/policies/mynumber_logo/

デジタル庁に運用が移管されている。着ぐるみの使用上の注意などがある。

目や耳が「1」なのは、マイナンバーが「1人に1つ」であることを示しています。 また、手に「1」を持つことで、マイナンバーを大切にしていただきたいという願いをこめています。

https://www.youtube.com/watch?v=YXhtUMIRzXQ

耳が 11 なのかと思ってだけど 1 なのか。。

マイナンばあちゃん

PDF https://www.mhlw.go.jp/content/10200000/000577627.pdf とかYouTube動画 https://www.youtube.com/watch?v=6v4deV0YEMM

唯一の相方。。?カード安全性のトピックに特化した専用キャラクタ。

https://www.soumu.go.jp/main_content/000691749.pdf

総務省のお知らせには、ネコっぽい謎のキャラクタが居る。