インターネットを使って行政手続きなどを行う「電子政府」の根幹となるネットワークシステムである政府認証基盤（ＧＰＫＩ）にセキュリティー上の重大欠陥があると指摘する論文を、産業技術総合研究所（茨城県つくば市）の高木浩光・研究チーム長らのグループがまとめた。この欠陥を第三者が悪用して政府機関や民間企業のホームページを装う「なりすまし」が可能になり、利用者や企業の情報が盗まれる危険性があるという。

　大阪で開催中の情報処理学会コンピュータセキュリティ研究会で１日、発表する。

　問題が指摘されているのは、ＧＰＫＩのうち総務省の「電子申請・届出システム」。同システムでは、まず総務省の認証局がネット上で電気信号の「ルート証明書」を、国の許認可などの手続きをしたい利用者に発行する。利用者は、これを使って接続先が総務省のコンピューターであることを確認し、その後のやり取りでは相互の通信を暗号化する。ただ現状では証明書を暗号化せず、インターネットで利用者に入手させているため、通信中に第三者が横取りして改ざんすることが可能だという。証明書が改ざんされると、第三者が偽サイトを作って「本物のサイトと確認」と表示し、利用者が送信する銀行口座番号などの情報を盗んだり、利用者にパソコンを破壊する不正プログラムを送ったりできる。

　総務省は同システムを他の省庁や地方自治体にも利用してもらう方針だが、高木さんらは「現状の配信方法は危険。民間認証機関の標準的な暗号化通信（ＳＳＬ）を使って配信すべきだ」と主張している。これに対し総務省官房企画課は、ルート証明書が通信中に改ざんされる可能性を認めたうえで「ＳＳＬの利用は政府認証基盤の根底を民間にゆだねることになり問題だ」としている。

　電子認証に詳しい明治大学法学部の夏井高人教授は「政府がすべての民間認証機関より高い証明力を持ち続けるのは、技術的予算的に困難だろう。政府側が危険性を説明しないまま『なりすまし』などの被害が出れば、国家賠償を求められる可能性が十分ある」と指摘している。　【太田阿利佐】

　【ことば】電子政府

　中央省庁の行政手続きの電子化を指す。行政の効率化や国民の利便性の向上が目的で、行政情報のホームページによる提供や、国民と行政の間の手続きのオンライン化などが含まれる。これまで紙で申請してきた書類がインターネットで申請できたり、許可証がネット経由で手に入ったりする。政府は「ｅ—Ｊａｐａｎ」計画に基づき各省庁で導入を進めている。


［毎日新聞１１月１日］ ( 2002-11-01-09:42 )

http://news.lycos.co.jp/society/story.html?q=01mainichiF1101m163&cat=2