先ごろ英国で,税金還付に関する大規模な詐欺が発生した。基本的には,税金還付システムは,ある条件に当てはまる納税者に,納めた税金の一部を払い戻すもの。政治的には,英国労働党が重要な目標としていたものだ。そのため英国の内国歳入庁(日本の国税局に相当する組織)は,税金還付をできるだけ簡単に申請できるようシステムを構築した。納税者はWebサイトでも還付を申請できる。
残念なことに,申請時に入力を求められる情報は,申請者の国民保険番号(National Insurance number)と母親の旧姓だけだった。還付金は,申請書で指定した任意の銀行口座に直接振り込まれる。セキュリティの知識がある読者なら,何が起こったか想像できるだろう。犯罪組織に奪われた被害金額は,推定で1500万ポンド(約2600万ドル)にのぼる。
英BBCは,この事件を身元情報窃盗として扱い,犯罪者らがごみ箱をあさるなどして国民保険番号を入手したと伝えている。このシステムの認証手順がどのように破綻したのかについて,私はほとんど何も知らない。税金還付システムは国民保険番号と母親の旧姓という半ば公然の秘密(semi-secret information)を利用し,申請者を認証しようとした。本来なら,このシステムは還付のトランザクションの正当性を認証すべきだった。ごく簡単な検査手順でさえ---例えば,振込先の銀行口座の名義と,還付金を受け取る人物の名前を照合する程度でも---この種の不正行為を相当防いでくれる。
<http://news.bbc.co.uk/1/hi/business/4617108.stm>
Copyright (c) 2006 by Bruce Schneier.
◆オリジナル記事「Identity Theft in the UK」
◆「CRYPTO-GRAM February 15, 2006」
◆「CRYPTO-GRAM February 15, 2006」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
