マイナンバーカードの4桁暗証番号は総当たり攻撃ですぐ解除される？【ファクトチェック】

「マイナカードの4桁の暗証番号は総当たり攻撃ですぐ解除される可能性がある」という内容のツイートが拡散しました。これはマイナンバーカードに関していうと、不正確な情報です。

検証対象

2022年10月13日、マイナンバーカードを作成した際に設定したパスワード4桁は、コンピュータプログラムによる総当たり攻撃を受けたらすぐに解除されてしまう可能性があるとの指摘が広く拡散した。

このツイートのリプライには、「たった四桁で驚いた」「自宅PCでフリーの解析ツールで4桁は即開きます」といったコメントがついた。

マイナンバーカードの4桁暗証番号はすぐに解除されるのか、検証する。

検証過程

マイナンバーカードを取得する際に設定する数字4桁のパスワードは「利用者証明用電子証明書パスワード」と呼ばれる。

検証対象のツイートが指摘するように、パスワードが数字4桁であれば、現在の技術では総当たり攻撃と呼ばれる0000から9999まで一つずつ自動で試していく手法を使い、一瞬で解除が可能だ。アメリカのサイバーセキュリティ企業Hive Systemsによると、数字が11桁でもすぐに解除できるという。

しかし、マイナンバーカードの場合、そもそもパスワード使用時にマイナンバーカードが必要で、しかも、3回連続で間違えるとロックが掛かってしまう（デジタル庁「マイナポータル よくあるご質問」参照）。このため、総当たり攻撃をかけること自体が不可能になっている。

日本ファクトチェックセンター(JFC)がデジタル庁に問い合わせたところ、「例えば、日をまたいでログインを試みたとしても3回連続でパスワード入力を間違えるとロックが掛かる」ため、総当たり攻撃による解除はできないという説明だった。

判定

総当たり攻撃を使えば、4桁の数字のみで構成されるパスワードはすぐに解除できる。しかし、マイナンバーカードのように、手元にカードが必要で入力を間違えるとロックが掛かる仕様では総当たり攻撃が難しい。よって、「マイナンバーカードの4桁暗証番号は総当たり攻撃ですぐ解除される」という指摘は不正確と判定した。

あとがき

マイナンバーカードに関しては、多数の疑問や批判が出ており、河野太郎デジタル大臣が個人のブログでも回答しています。

一般的に世論が割れたり、与野党で意見が対立することに関しては、ネット上でも様々な言説が飛び交い、賛成派・反対派を問わず、事実と異なるものも多く見られます。JFCでは意見は別として、それぞれの事実に関して検証をしていきます。

検証：杉江隼
編集：古田大輔