マイナンバーカードの4桁暗証番号は総当たり攻撃ですぐ解除される?【ファクトチェック】

マイナンバーカードの4桁暗証番号は総当たり攻撃ですぐ解除される?【ファクトチェック】

「マイナカードの4桁の暗証番号は総当たり攻撃ですぐ解除される可能性がある」という内容のツイートが拡散しました。これはマイナンバーカードに関していうと、不正確な情報です。

検証対象

2022年10月13日、マイナンバーカードを作成した際に設定したパスワード4桁は、コンピュータプログラムによる総当たり攻撃を受けたらすぐに解除されてしまう可能性があるとの指摘が広く拡散した。

画像

このツイートのリプライには、「たった四桁で驚いた」「自宅PCでフリーの解析ツールで4桁は即開きます」といったコメントがついた。

マイナンバーカードの4桁暗証番号はすぐに解除されるのか、検証する。

検証過程

マイナンバーカードを取得する際に設定する数字4桁のパスワードは「利用者証明用電子証明書パスワード」と呼ばれる。

検証対象のツイートが指摘するように、パスワードが数字4桁であれば、現在の技術では総当たり攻撃と呼ばれる0000から9999まで一つずつ自動で試していく手法を使い、一瞬で解除が可能だ。アメリカのサイバーセキュリティ企業Hive Systemsによると、数字が11桁でもすぐに解除できるという。

画像
ハッカーが総当たり攻撃でパスワード解除できるまでにかかる時間の一覧表(Hive Systems, 2022)

しかし、マイナンバーカードの場合、そもそもパスワード使用時にマイナンバーカードが必要で、しかも、3回連続で間違えるとロックが掛かってしまう(デジタル庁「マイナポータル よくあるご質問」参照)。このため、総当たり攻撃をかけること自体が不可能になっている。

日本ファクトチェックセンター(JFC)がデジタル庁に問い合わせたところ、「例えば、日をまたいでログインを試みたとしても3回連続でパスワード入力を間違えるとロックが掛かる」ため、総当たり攻撃による解除はできないという説明だった。

判定

総当たり攻撃を使えば、4桁の数字のみで構成されるパスワードはすぐに解除できる。しかし、マイナンバーカードのように、手元にカードが必要で入力を間違えるとロックが掛かる仕様では総当たり攻撃が難しい。よって、「マイナンバーカードの4桁暗証番号は総当たり攻撃ですぐ解除される」という指摘は不正確と判定した。

あとがき

マイナンバーカードに関しては、多数の疑問や批判が出ており、河野太郎デジタル大臣が個人のブログでも回答しています。

一般的に世論が割れたり、与野党で意見が対立することに関しては、ネット上でも様々な言説が飛び交い、賛成派・反対派を問わず、事実と異なるものも多く見られます。JFCでは意見は別として、それぞれの事実に関して検証をしていきます。

検証:杉江隼
編集:古田大輔

検証手法や判定基準などに関する解説は、JFCサイトのファクトチェック指針をご参照ください。

「ファクトチェックが役に立った」という方は、シェアやいいねなどで拡散にご協力ください。誤った情報よりも、検証した情報が広がるには、みなさんの力が必要です。

X(Twitter)FacebookYouTubeInstagramなどのフォローもよろしくお願いします。またこちらのQRコード(またはこのリンク)からLINEでJFCをフォローし、真偽が気になる情報について質問すると、AIが関連性の高い過去のJFC記事をお届けします。詳しくはこちらの記事を

もっと見る

マイナンバーカード、意識不明で運ばれたら暗証番号が分からず使えない? 目視による本人確認で対応【ファクトチェック】

マイナンバーカード、意識不明で運ばれたら暗証番号が分からず使えない? 目視による本人確認で対応【ファクトチェック】

マイナンバーカードに関して、意識不明で運ばれたら暗証番号が分からずに使えないという情報が拡散しましたが、誤りです。暗証番号がわからない場合、医療機関や薬局の職員が写真と本人の顔を照合して受け付ける方法があります。 検証対象 2024年12月2日、「病院ではマイナンバーカードの提示を求めますがその際に暗証番号が必要となります。もし意識不明となり運ばれた場合、暗証番号が分からず未確認となります。 無保険扱いとなる可能性もあり病院側としてもとても面倒です」という投稿が拡散した。 添付された動画はマイナ保険証に関するテレビ番組の切り抜きで、マイナ保険証の導入に伴うメリットや課題などを紹介しているが、投稿の文言自体とは直接的な関係はない。 2024年12月3日現在、この投稿の表示回数は315万回を超える。投稿について「どうしたらいいんだろう」「緊急時や事故の際のリスクも伴う」というコメントの一方で「デマはやめてほしい」という指摘もある。 検証過程 暗証番号が読み取れないときのマイナ保険証の利用 2024年12月2日、健康保険証の利用登録をしたマイナンバー

By 日本ファクトチェックセンター(JFC)
嵐・大野智氏が大麻で逮捕? 所属事務所が否定、投稿者は謝罪【ファクトチェック】

嵐・大野智氏が大麻で逮捕? 所属事務所が否定、投稿者は謝罪【ファクトチェック】

「嵐・大野智氏が大麻で逮捕された」という情報が複数拡散しましたが、誤りです。大野氏が所属するSTARTO ENTERTAINMENTは「事実無根」と否定する声明を出し、投稿を最初に拡散した投稿主は謝罪して撤回しています。 検証対象 2024年11月28日、「今詳細調べてるから確定したら公開するけど、逮捕の話が上がってるのは嵐の大野智。罪名は大麻取締法違反」という情報が拡散した。 拡散とともに、週刊誌の記事を装った画像も複数投稿され、拡散した。なかには表示回数が2,960万回を超えるものもある。 検証過程 事務所が否定する声明「法的措置をとる」 大野氏が所属する株式会社STARTO ENTERTAINMENTは2024年11月30日、公式ウェブサイトで強く否定する声明を出した(当社契約タレントへの著しい名誉毀損記事・投稿について)。 「当社契約タレント・大野智についての大麻取締法違反による逮捕などという虚偽の内容の記事・投稿の事実を強く否定するとともに、これらの悪質な記事やSNSの投稿に対し、名誉毀損行為として法的措置をとることをお知らせいたします

By 日本ファクトチェックセンター(JFC)
北朝鮮が有田芳生氏の身分証明書を発行? 画像は渡航用のビザで日本国籍と明記【ファクトチェック】

北朝鮮が有田芳生氏の身分証明書を発行? 画像は渡航用のビザで日本国籍と明記【ファクトチェック】

立憲民主党の有田芳生衆院議員について「北朝鮮が発行した有田氏の身分証明書」という画像とともに、有田氏は北朝鮮国籍であるという情報が拡散しましたが、誤りです。実際は北朝鮮が発行した渡航用のビザ(査証)の画像で、日本国籍と明記されています。 検証対象 2024年12月2日、「有田芳生氏の身分証明 ご自由にに判断して下さい‼‼」との投稿が拡散した(その後削除)。 拡散した投稿には有田氏の顔写真が入り、「DEMOCRATIC PEOPLE’S REPUBLIC OF KOREA(朝鮮民主主義人民共和国)」との記載されたがある画像が添付されている。 このビザの画像はこれまでも「有田氏は北朝鮮国籍だ」という主張とともに繰り返し拡散している(例1、例2)。 「公の場に勤める人達は 出自の公表が必要です」「スパイがすっぱ抜かれてやんの」などのコメントが多数つき、有田氏が北朝鮮国籍であるかのような主張がなされている。一方で、「これはビザですね」との指摘もある。 検証過程 元画像は有田氏本人が2015年に投稿 日本ファクトチェックセンター(JFC)が検証対象に添付

By 日本ファクトチェックセンター(JFC)
いらすとやに斎藤兵庫県知事とPR会社社長のイメージ画像? Xユーザーが独自に作成【ファクトチェック】

いらすとやに斎藤兵庫県知事とPR会社社長のイメージ画像? Xユーザーが独自に作成【ファクトチェック】

「いらすとやさんのお仕事の早さ」という文言と共に兵庫県の斉藤元彦知事と公職選挙法違反の指摘があるPR会社の社長を連想させるいらすとや風の画像が拡散しましたが、誤りです。いらすとやではなく、Xユーザーが独自に作成したものです。 検証対象 2024年11月28日、「いらすとやさんのお仕事の早さ」という画像付き情報が拡散した。男性と女性が砂浜で手を上げる画像が添付されている。 2024年11月29日現在、このポストは1500件以上リポストされ、表示回数は42万回を超える。投稿について「素晴らしい!」「さいとうブルー」というコメントの一方で「いらすとやさん公式ではないようです」という指摘もある。 検証過程 いらすとや公式サイトになし 「いらすとや」はイラストを配布しているフリー素材サイト。サイトの「新しいイラスト」から新規追加されたイラストを確認することができる。 2024年6月までさかのぼることができるが、日本ファクトチェックセンター(JFC)が確認したところ拡散した画像はない。 Googleレンズを活用 拡散した画像をGoogleレンズで検索す

By 日本ファクトチェックセンター(JFC)