Scribble at 2021-12-09 11:18:37 Last modified: unmodified

「マイナポータル」というサイトがある。年金や社会保険の情報も確認できるサイトで、これはこれで一定の位置があると思うけれど、パソコン版のサイトでは健康保険のカードとしてマイナンバーカードを使うための申請ができない（なんとスマートフォンの「マイナポータル」専用アプリケーションでしかできない）ため、Android 用のアプリケーションを入れてみた。

しかし、こちらのアプリケーションは全くだめである。アプリケーションをインストールしたあとの手順を書くと、

(1) マイナポータル・アプリを起動する。

(2) 「ログイン」ボタンを押す。

(3) ログイン方法を選ぶ（四桁の暗証番号）。

(4) マイナンバーを発行したときの四桁の暗証番号を送信する。

(5) マイナンバーカードをスマートフォンにかざして情報を読み取る（機種ごとに方法が違う。また、Bluetooth や位置情報や NFC といったサービスを有効にしておく必要もある）。

となって、カードを暫くスマートフォンに読み取らせて送信が完了すると、マイナポータル・アプリの画面がマイナンバーカードをスマートフォンから離してくれという表示になる。しかし、それだけだ。アプリケーションの画面がログイン後の画面に切り替わるわけでも何でもなく、実はディフォールトの WWW ブラウザが起動するのである。Android 携帯なら、ほぼ Google Chrome が起動するだろう。この時点でセキュリティの観点から言えば重大な問題がある。マイナポータル・アプリがもつセッションを他社のブラウザへと勝手に引き継がせているのだから、この間に攻撃のチャンスが生じる。

そして、UX としても酷い。実は、起動した WWW ブラウザの画面は上記のような表示になっているのだ。ログインした筈の画面で、いきなり「本画面は閉じてください」とは何なのか。実際、この画面を閉じると、まだログインしていないマイナポータル・アプリが残るだけで、これでは無意味な手順のループでしかない。本当に、このアプリケーションを作った人々は自分たちで利用試験したんだろうか。