eレジデンシーカード電子証明書の更新手続について:迅速なエストニア政府の対応

こんにちは、 「日本・エストニア/EUデジタルソサエティ推進協議会(略称:JEEADiS ジェアディス)」 の牟田です。
2017年11月13日:更新
2016年に「eレジデンシーカード電子証明書の更新」が実施されましたが、2017年8月30日にセキュリティ専門家らが指摘した新たな脆弱性に対応するため、2017年11月に再び証明書の更新がありましたので、本ブログ投稿も追記・修正しておきます。
エストニアでは、全ての公的な身分証明書(Estonian ID documents:身分証明書法で定められている)について、2016年内に更新(アップデート)がありました。この更新は、より強度の高い暗号を採用するために行うものですが、原則として「利用者自身が自分で更新作業を行う」ことで対応しました。
公的な身分証明書には、eレジデンシーカードに搭載されている「電子居住者用の電子証明書(e-residents’ digi-ID certificates)」が含まれているので、eレジデンシーカードの保有者も、更新作業を自分で行う必要があります。更新作業は、WindowsやMac等のパソコン上で行います。
今回2017年11月の更新については、既にエストニア政府機関からeレジデンシー取得者(電子居住者)宛てに電子メール案内「E-Residency Update Required 」や「E-Residency Update Now Available」が来ていると思います。今回も、「利用者自身が自分で更新作業を行う」ことになりますが、期限があるので注意が必要です(証明書の更新は2018年3月31日まで可能)


(1)エストニア政府の対応


エストニア政府機関(RIA:国家情報システム局)からの案内
Possible Security Vulnerability Detected in the Estonian ID-card Chip (2017年9月5日)
ID-cards affected by the security risk can be renewed from November (2017年9月28日)
E-services are preparing for ID-card updating (2017年10月26日)
RIA: Update your security risk affected ID-Cards (2017年10月31日)
Estonian government: Estonia will block the certificates of 760 000 ID cards as of the evening of 3 November (2017年11月2日)
From Friday noon remote updating will only be available to those who use ID-card every day at work  (2017年11月3日)
120 000 ID-cards have been updated (2017年11月6日)
上記の案内にある通り、今回の証明書更新へのエストニア政府の対応は、非常に迅速でした。8月30日の専門家からの通知を受けて政府内で調査・協議し、9月5日に今後の対応を含めて発表し、1ヶ月弱で証明書更新のソフトウェアを開発しています。さらに、10月中に証明書の更新に伴う各種オンラインサービス側の対応を含むテストを完了させた上で、10月末に利用者向けに更新手続の案内を通知しています。
11月2日の閣議決定(これまで発行した証明書の利用停止措置を承認)を経て、11月3日から5日にかけては、電子政府の機能継続を保証するために、医師や政府職員(司法分野を含む)などの優先的な更新手続を行いました。11月6日から一般の利用者の更新作業を受付けて、今回の更新が必要とされるIDカード75万枚のうち、11月6日までに12万件の証明書が更新されています。脆弱性の発見・認識から、2ヶ月ちょっとでここまで対応したのは、私も驚きました。


(2)電子証明書の更新方法


電子証明書の更新方法については、eレジデンシーの執行責任者 Kaspar Korjus氏がブログ「Estonia is enhancing the security of its digital identities」で解説しています。また、ベルギー在住のエンジニアの方が、Kaspar Korjus氏のブログを日本語に翻訳されています「エストニア、電子認証のセキュリティを強化へ 」。YouTubeの解説動画も「Renewal of the Estonian ID card certificates 2017」に更新されています。

なお、AppleのMacを利用されている方は少し注意が必要で、証明書の更新を開始する前に、Firefoxブラウザのダウンロードが推奨されています。Macユーザーの方は、「エストニアIDカードをアップデートしてみた(macOS) – shuya’s blog」を参考にされるのが良いと思います。
また、電子証明書を更新すると、更新前の電子証明書で暗号化した文書を解読(復号化)できなくなるので、後で必要となる暗号化文書は事前に復号化しておく必要があります。
電子証明書の更新には、次の3つが必要です。
1 eレジデンシーカード (PINと呼ばれる暗証番号も必要です)
2 カードリーダー(カード取得時にもらえる)
3 専用のソフトウェア「ID-card utility」(最新版へのアップデートが必要)
「ID-card utility」は、eレジデンシーカードを利用・管理するためのソフトウェアの一つで、エストニア政府が公式に配布しています。暗号化など他のソフトウェアと合わせて「eID software」とされています。2017年11月13日現在の最新版は、11月2日にリリースされた「ID-software version: 17.10」です。eレジデンシーカードは持っているけど、「ID-card utility」は見たことも聞いたことも無いという人は、更新はあきらめてください(笑)
「ID-card utility」を既にインストールしている人は、パソコンのデスクトップに次のようなアイコンが表示されていると思います。

私の今回の更新作業は、OSがWindows 7、ブラウザがGoogle Chrome、いずれも最新版に更新した上で実施しました。更新作業は、次の5ステップです。スムーズに行けば10分ぐらいで終わります。
(1)「ID-card utility」を立ち上げてバージョンを確認する

画面上のメニューから、「About」をクリックすると現在のバージョンを確認できます。次のように表示されるはずです。
qesteidutil version 3.12.9.1261, released 01.11.2017
Base version: eID software (17.10.0.1757)
「eID software」のバージョンが17.10以降で無い場合は、「Settings」から「Check for updates and close utility」をクリックして最新版にアップデートしてください。
(2)eレジデンシーカードをカードリーダにセットする
eレジデンシーカードをカードリーダに差し込むと、「ID-card utility」の画面にeレジデンシーカードの電子証明書等の内容が表示されます。
(3)画面中央右にある「Update」をクリックして電子証明書を更新する

電子証明書の更新が必要な場合、画面中央に更新が必要である旨が表示されます。その右横に大きく「Update」と表示されていますので、これをクリックすると更新手続が開始されます。後は、画面の指示に従って、更新作業を進めます。更新作業中は、放置しないで更新画面を見ておいてください。
この時に、現在使用している4桁の暗証番号(PIN1)が何度か必要になります。また、更新作業を進める中で、新しい暗証番号等(PIN1、PIN2、PUK code)が表示されるので、必ずメモしておきます。表示された新しい暗証番号等が無いと、更新作業を完了することができないので注意しましょう。
更新が完了すると、「Update」という表示がなくなり、次のように「カードの有効期間」と「更新が必要でない旨」が表示されます。
Card is valid till 25. August 2018
This card does not require updating
(4)古い電子証明書をパソコン上から削除する
この作業は必須ではありませんが、ポータルサイト等へログインする際に、古い電子証明書が表示されないようにするものです。「ID-card utility」のメニューから、「Settings」をクリックして、次に「Clean certs」をクリックします。英語による公式解説は「Important actions after renewal of certificates」で確認できます。
(5)暗証番号等(PIN1、PIN2、PUK code)を変更する
これも必須ではありませんが、電子証明書の更新時に表示された「新しい暗証番号等(PIN1、PIN2、PUK code)」は、自分が使いやすいものに変更しておいた方が良いでしょう。
PIN1:認証用の暗証番号(使用頻度が特に高い)
PIN2:署名用の暗証番号
PUK code:暗証番号を3回間違えて入力し使えなくなった時の解除番号
「ID-card utility」の画面から、それぞれ「Change PIN1」、「Change PIN2」、「PUK code」>>「Change PUK code」をクリックして変更します。


(3)新しい電子証明書でログインしてみる

電子証明書の更新が完了したら、コンピュータを再起動させた上で、エストニアの電子政府ポータル「Eesti.ee」にアクセスして、更新したIDカード(電子証明書)で「My eesti.ee(My data)」にログインしてみましょう。

ログインできない場合は、少し時間を空けてから再度ログインしてみます。それでもログインできない場合は、eIDのヘルプデスクeレジデンシーの事務局に(画面下にメールアドレスがあります)問い合わせた方が良いでしょう。