先週、エストニア政府は、国民デジタルIDカード76万枚を失効とした。
エストニアのデジタル身分証明(ID)カードは、選挙の電子投票、申告・納税、登記等さまざまな公的な手続に使用されているが、以前からハッキングが可能だと指摘されてきていた。今回の決定は、調査の結果これらのカードに発見された暗号の欠陥が当初考えられていたより「はるかにひどい」ことが判明したことが背景にある。
先月、エストニアのデジタルIDカードの脆弱性を報じていた情報サイトのArs Technicaは新たに、ハッカーは、当初の予想よりはるかに短時間、低コストでカードを乗っ取ることができると報じている。
e-Residency部門責任者のカスパー・コルジュス氏は、「エストニアのデジタルIDカードが悪用された事案は発見されていないが、脆弱性を有する全てのIDカードは3日(金)中に停止させた。」と述べた。(注:e-Residency: 国籍に関係なくオンライン申請でエストニアのデジタル「住民」IDを取得できる仕組み。取得すればオンラインビジネス等で同国の利点を享受することが可能。)
エストニア当局は状況の鎮静化をはかるため、「大規模な投票操作には、秘密鍵の生成にかなりのコストと計算能力が必要であることに鑑みれば、(同IDカードを用いて行われた選挙で)投票操作が行われたとは考えにくい」との見解を述べている。
同週末、エストニアの独立系の研究者は「エストニア選挙で使用された国民IDカードに関する政府声明に深い懸念を感じている」とブログで述べていた。
「この声明は、1枚のカードを破るには8万ユーロかかる、したがって75万のIDカードをすべて破るには600億ユーロかかる、との前提に立っているようだが、実際の攻撃コストは何千倍も低い... 」
デジタルIDの分野で先進国としての地位を何年にもわたって維持してきたエストニアにとって、これは評判にかかわるやっかいな問題だ。
エストニア政府の対応に注目が集まっている。