BppLOG

Berlin → Tokyo

エストニア、電子認証のセキュリティを強化へ

この記事は e-Residency の Managing Director である Kaspar Korjus 氏の記事 Estonia is enhancing the security of its digital identities を許可を得て翻訳したものです。
なお、本文中では、e-Residencyの利用者を電子居住者と表記しています。

エストニアは、国民、居住者、電子居住者が利用するIDカード及び電子認証のセキュリティを強化させています。

今回のアップデートはこれまでのSSL証明書よりも安全で早い高度な楕円曲線暗号をベースにしています。今回の認証更新は、セキュリティ専門家グループにより発見され、エストニア政府が先月発表した脆弱性からユーザーを守る為のものです。

2014年10月16日から2017年10月25日の間にエストニアより発行されたIDカードを含む、世界中のIDカードに内蔵されているチップにインストールされたソフトフェアにこの脆弱性が含まれていることが確認されています。

エストニアだけの問題ではありませんが、報告を受けてからエストニア政府はリスクを最小限に抑え解決策を見つけることを最優先事項としています。

今のところ、エストニア発行の電子認証や電子IDカードについては先述のセキュリティ専門家らが注意喚起した不正は報告されていません。多くのリソースと専門知識を投入してこの問題の対応にあたっており、影響を受ける可能性がある方々のリスクは低く抑えられています。

電子居住者がしなければならないこと

2017年10月25日以前に電子認証発行を受けた全ての電子居住者は、コンピューターからIDカード利用ソフトフェアを使ってそれぞれの電子IDカード認証の更新を行ってください。更新が必要か否かはソフトウェアが自動的に判別してくれます。

f:id:tky_bpp:20171101170014p:plain

認証の更新にはエストニアIDカード利用ソフトウェアの最新版が必要です。まだダウンロートしていない場合は先にこちらからダウンロードしてください。認証の更新が必要になった場合に備え、最新版ソフトウェアをダウンロードしておくことをお勧めします。

認証を更新することにより、電子IDカードに内蔵されたチップが新たにプログラミングされます。更新手続きはPINコードの入力を含めわずか数クリックで済みますが、手続きの完了には15分ほどかかることがあります。

更新手続きを開始する前に、あらかじめ登録済みのPINコード、そして新しいPINコードを記録する為の筆記用具をご用意ください。これらのPINコードは後から変更することができます。

もし将来的にアクセスしなければならない暗号化された書類がある場合は、更新手続きを開始する前に暗号を解除しておきましょう。古い認証を使って暗号化された書類は新しい認証では非暗号化できません。現在対応策が検討されていますが、1ヵ月程度は書類の暗号化ができません。

もし認証の更新方法がわからない場合はこちらのチュートリアルをご覧ください。

youtu.be

問題が発生した場合は e-Residencyチーム(e-resident@gov.ee)にご連絡いただくか、後から更新作業をやり直してください。

古い認証は11月初旬に無効となります。一旦無効となると認証が更新されるまで電子IDカードは利用できません。

更新手続きは2018年3月31日までに完了させてください。それまでに認証を更新しなかった場合、新たに電子IDカードの発行を受ける必要があります。

2017年11月以降に電子IDカードの発行を受けた方に関しては既に新しい認証がチップ内にインストールされていることから、特に手続きは必要ありません。ただし、11月以前に電子IDカード発行可能の連絡を受けた方に関しては異なります。

今回の認証更新には官民の緊密な協力が必要不可欠です。国が提供する電子サービスに加え、問題が発生しているアップル社Macを除き、電子IDカードを利用する民間企業も新たな認証に向けて準備しています。

アップル社のMacに関する問題

電子居住者はMacから認証を更新し、またIDカード利用ソフトウェア上で電子署名を行うことはできますが、電子IDカードのその他の利用に関しては現行のFirefoxでのみ可能です。(2017年12月15日に予定されている更新版をダウンロードすれば利用できなくなります。)

これはエストニアが目指すゴールからはかけ離れており、Mac上でどのようなブラウザーを使っていてもエストニアの電子IDカードの全ての機能が利用できるよう、アップル社と解決策を探っているところです。

当面の間、MacユーザーはFirefoxをダウンロードし、なおかつ12月15日に更新しないことをお勧めします。

また、銀行はこれまで電子居住者がログインする際に電子IDカードの提示を求めてきましたが、電子居住者がリモートログインできるスマートIDという方法を提供しています。これは携帯電話のアプリで、一度本人であることを証明すれば安全にエストニアの銀行サービスを使い続けることができます。ただし、スマートIDは銀行業務以外の為の本人確認や電子署名には利用できません。

まとめ

  • 2017年10月25日以前に電子IDカードの発行を受けた電子居住者は、自分のコンピューターからIDカード利用ソフトウェアを開き、指示に従って認証を更新してください。PIN及びPUKコードを記録できるよう筆記用具をご用意ください。最新版ソフトウェアをまだダウンロードしていない場合は、先にダウンロードする必要があるかもしれません。
  • 電子居住者の方でIDカード利用ソフトウェアをまだダウンロードしていない場合はこちらからダウンロードして、その後指示に従って認証の更新を行ってください。
  • 2017年11月以降にIDカードの発行を受けた方は手続きは必要ありません。電子IDカードには既に新たな認証が含まれています。
  • 電子居住権が認められ、11月以前に電子IDカード発行可能の連絡を受けた方は、早急に電子IDカードを受け取って認証の更新を行ってください。電子IDカード発行可能の連絡を受けてから6か月以上が経過し、まだ受け取りに行っていない方は、選択した受け取り場所に直接確認してください。古い認証を含むまだ受け取られていないIDカードは3月1日をもってエストニアに送り返されます。
  • Mac利用者は銀行業務の為にスマートIDを申請し、他の業務に関してはFirefoxブラウザーを利用することをお勧めします。全ての業務が利用できるよう対応策を検討しており、進展があり次第お知らせします。
  • エストニア国民あるいは居住者の方はこちらで詳細をご確認ください。ほぼ同じ情報ですが、この説明は電子居住者を対象としたものです。


(元記事) Estonia is enhancing the security of its digital identities


===== 翻訳ここまで ======


対応のスピード感もさることながら、Chrome や MacOS では未対応の新技術を国家として採用してしまう決断力は流石ですね。

この告知を受けて、全世界のe-Residency利用者と、エストニア国民がアップデートしようとしているため、現在繋がりにくい状況になっています。
「Updating certificates has failed. The server is overloaded, try again later.」というエラーメッセージが表示されてしまいます。
カスタマーサポートは、ピークタイムを避けてリトライするようアナウンスしていますが、全世界を考慮するとピークタイムはいつなんでしょうね。やはり割合としてはエストニア国民が多いので、エストニアが夜中になる、日本時間の朝9〜10時あたりでしょうか。

なお、翻訳による内容の正確さおよび最新の内容を保証するものではありませんので、あくまで参考として利用していただき、必要に応じて原文を参照していただくようお願いします。(翻訳に対するフィードバックやご指摘があればご連絡ください。)


【 お知らせ】Forbesにてエストニアに関する連載を始めました。
forbesjapan.com


未来型国家エストニアの挑戦  電子政府がひらく世界 (NextPublishing)

未来型国家エストニアの挑戦  電子政府がひらく世界 (NextPublishing)

暗号理論と楕円曲線

暗号理論と楕円曲線

  • 作者: 辻井重男,笠原正雄,有田正剛,境隆一,只木孝太郎,趙晋輝,松尾和人
  • 出版社/メーカー: 森北出版
  • 発売日: 2008/08/01
  • メディア: 単行本(ソフトカバー)
  • 購入: 1人 クリック: 11回
  • この商品を含むブログ (1件) を見る