皆さんマイナンバーカードは持っているだろうか。

私は持っています。

んで、ちょっと気になることが

QRコードにマイナンバー書いてあるよね

これは、以前からさんざん言われていますね。

nlab.itmedia.co.jp

総務省から、言い訳文書も出ています。

http://www.soumu.go.jp/main_content/000425732.pdf

要するに「目視で分からないからOK」らしい。

カメラで撮られたらアウトじゃないですか。総務省は馬鹿なのかな。

ICチップとパスワードを平文でやりとりしてない？

ここからが本題。

マイナンバーカードにはICチップがついていて、

その中に自分の証明書を取得するためのアプリ等が入っています。

(証明書が何に使えるかはよくわかってないですが、自宅で確定申告とかするときに便利なのでしょう。たぶん。)

で、その証明書を取得するソフトがこちら。パソリがあれば、誰でも使えます。

www.jpki.go.jp

アンドロイドアプリもあります。

ダウンロード数少なすぎ。どんだけ需要ないんだよ。

play.google.com

さて、このソフト、証明書発行するときに当然自分で設定したパスワードを要求されるわけですが、「あれ？パソリって暗号化できないよな。まさかパスワードが平文ってことはないような？ソフトで対応してるのかな？」と気になりまして、ちょっとUSB Snifferを使って、ソフトがパソリに送ってるデータを見てみました。

使ったソフトはこれ↓

ja.osdn.net

んで、結果を言うとパスワード平文で送ってるわ。コレ。

接触ICならまだしも、電波がその辺に飛び交う非接触ICでパスワード平文はまずいのでは？

まぁ、このパスワード漏れてもマイナンバーが漏れるわけではないですしね。カードとセットでないと意味ないから流出してもそんなに問題ないと思いますよ。このパスワードをユーザーがほかのパスワードと分けてるならね。

実際のところ9割の人は流用してると思うぞ、パスワード。4桁の数字とかキャッシュカードと同じ。。。

現状マイナンバーカードなんて需要皆無だから対して問題ないでしょうけど、万が一、マイナンバーカードが流行したら、結構やばい問題になると思うんですが大丈夫なんでしょうか？