Medicare.govがID.me/CLEAR/Login.govの選択制に舵—高齢層の本人確認を“守り”と“使いやすさ”で再設計します

今日の深掘りポイント

• 本人確認を外部の複数IdP（ID.me/CLEAR/Login.gov）に委ねる「選べる本人確認」は、単一障害点とベンダーロックインを避けつつ、逆に攻撃面の多様化も招く両刃の剣です。
• 連邦基準（NIST SP 800-63のIAL2）を前提とした設計は詐欺対策の底上げに資する一方、実装差・運用差が利用者体験とセキュリティ水準のばらつきを生みます。
• 高齢者・デジタルデバイド配慮（スマホ/REAL IDなしで一般情報にアクセス可能）を明示した点は、セキュリティ強化と包摂性の両立で示唆に富みます。
• 攻撃は本人確認プロセスそのものより、ブランド成り済まし（フィッシング）、アカウントリカバリ悪用、トークン奪取/偽造、フェデレーション誤実装を突きます。MITRE ATT&CKの複数技術に跨る防御設計が鍵です。
• 日本の公共ID基盤や金融・医療の本人確認導入でも、「複数IdP×FIDO2中心×フェデレーション堅牢化×障害時キルスイッチ」を標準設計とする価値が高いです。

はじめに

アメリカのメディケア受給者が、Medicare.govでID.me、CLEAR、Login.govのいずれかを選んでオンライン本人確認できるようになる見込みです。狙いはアカウント保護と詐欺削減で、連邦のセキュリティ基準に準拠し、かつスマホやREAL IDを持たない人にも配慮した運用を掲げています。この「複数のデジタルID事業者を選ばせる」という設計は、利便とプライバシー、可用性とセキュリティのせめぎ合いに対して、実務的な解を提示するものです。日本のCISOやSOCにとっても、市民向けポータルや大規模会員基盤の本人確認をどう設計するか、その現実解を考える材料になります。

本件は速報性・実行可能性が高く、かつ採用確度も高い類の動きです。目新しさは限定的ながら、公共×高齢者という難条件で「使えるセキュリティ」を積み上げている点が現場には効いてきます。

参考: 報道はBiometric Updateが先行しています［参考情報参照］。

深掘り詳細

事実関係（何が起きたか）

• CMS（Centers for Medicare & Medicaid Services）がMedicare.govのログイン/本人確認に、ID.me、CLEAR、Login.govの選択肢を提供する計画を公表しています。受給者は好みの事業者を選んで本人確認を完了し、アカウント保護と詐欺削減を狙います。スマホやREAL IDがなくても一般情報の参照は可能と説明されています［出典: Biometric Update］。https://www.biometricupdate.com/202603/medicare-beneficiaries-get-new-online-identity-verification-options
• 背景の連邦基準として、NIST SP 800-63シリーズのIAL2（Identity Assurance Level 2）相当の要件が念頭にあります。IAL2は、公的身分証等の強い証跡とリモート/対面の証明手順、なりすまし・合成ID対策、監査可能性などを規定します［NIST SP 800-63-3群］。https://pages.nist.gov/800-63-3/

上記は報道と公開ガイドラインに基づく一般情報であり、各IdPがどの認証器や手順（例: 生体・TOTP・FIDO2/パスキー等）をどの操作に採用するかは実装差があるため、実運用の仕様確認が前提になります。

インサイト（なぜ重要か）

• 選択制の戦略的効果:
  • ベンダー集中リスクの低減: 単一IdP障害や重大インシデント時に切替余地ができ、全停止を避けやすくなります。
  • 利用者適合性の向上: ビデオ審査、対面、書類アップロード、FIDO2など多様な手段から選べるため、高齢者や支援者同席の手続きにフィットしやすいです。
  • 一方で認知負荷とフィッシング面の拡大: 選択肢が増えるほど利用者は「正規の導線」を判別しにくくなり、ブランド成り済ましの余地が広がります。ガイド付きUIとドメイン一貫性が欠かせません。
• IAL2前提の現実解:
  • KBA（知識ベース認証）依存からの脱却や、文書＋生体＋在籍実在性の多要素化は、詐欺抑止に効きます。ただし偽造文書・合成ID・ディープフェイクなど攻撃の高度化も同時進行で、監査・再検証・リスクベース審査が不可欠です。
• フェデレーション実装の重心:
  • ログイン自体の強度よりも、OIDC/SAMLの実装堅牢性（nonce/state/PKCEの徹底、トークン境界の防御、鍵運用、DPoP/mTLSの活用）と、アカウント回復フローの防御が決定打になります。攻撃の多くはこの「つなぎ目」を突きます。
• 包摂設計の示唆:
  • 「スマホやREAL IDがなくても一般情報にアクセス可能」という配慮は、公共サービスの公平性を担保します。実務では「高リスク操作は段階的に強い認証へ」移行するステップアップ型の設計が欠かせません。

脅威シナリオと影響

以下は仮説に基づくシナリオで、一般的なフェデレーション/本人確認導入時に想定すべき攻撃とそのATT&CK対応付けです。特定の事業者の不備を断定するものではありません。

• シナリオ1: IdP選択UIのブランド成り済まし＋AitMでのセッション奪取
  • 手口: Medicare.gov風の偽ページからID.me/CLEAR/Login.govに見せかけたリバースプロキシで誘導し、認証後のセッションクッキーやOAuth/OIDCトークンを窃取。
  • ATT&CK: T1566（Phishing）, T1550（Use Alternate Authentication Material）, T1528（Steal Application Access Token）, T1078（Valid Accounts）[MITRE ATT&CK各技術参照]。
  • 影響: MFAをすり抜けた実質的なアカウント乗っ取り、医療情報閲覧・給付詐取。
• シナリオ2: アカウント回復フローの社会工学的悪用（電話・ライブ審査）
  • 手口: サポート窓口やビデオ審査での弱い質問・書類提示を突き、代理人装いで回復コードや二次要素を差し替え。
  • ATT&CK: T1566（Service経由のフィッシングを含む）, T1098（Account Manipulation）, T1078（Valid Accounts）。
  • 影響: 本人確認完了後の「真正な攻撃者」と化すため検出しづらく、補償コストが嵩みます。
• シナリオ3: フェデレーション誤実装の悪用（トークン偽造・検証不備）
  • 手口: iss/audの検証抜け、nonce/state不整合、kid/JWKS混乱、alg不備などを突いて、SP（Medicare.gov側）が受け入れる不正トークンを生成。
  • ATT&CK: T1556（Modify Authentication Process）, T1606（Forge Web Credentials）, T1190（Exploit Public-Facing Application）。
  • 影響: ユーザー関与なしにSSOを突破。大規模一斉悪用の恐れ。
• シナリオ4: 合成IDでの新規アカウント取得（証跡審査のすり抜け）
  • 手口: 実在しない人物（または一部実在情報の寄せ集め）で証跡を用意し、リモート証明を突破して新規アカウントを合法的に取得。
  • ATT&CK: T1136（Create Account）, T1078（Valid Accounts）。
  • 影響: 不正請求の温床。事後検知と回収が難しい領域。
• シナリオ5: IdP自体の侵害・証明書/鍵の漏えい
  • 手口: IdP側のサプライチェーン/クラウド設定不備から署名鍵・JWKS改ざん等を引き起こし、正当なトークンを偽装。
  • ATT&CK: T1195（Supply Chain Compromise）, T1606（Forge Web Credentials）, T1556（Modify Authentication Process）。
  • 影響: 信頼境界の崩壊。緊急での信頼撤回（キルスイッチ）と切替計画が生死を分けます。

総じて、攻撃は「本人確認の厳格さそのもの」を正面から破るより、「周縁のフロー（フェデレーション、回復、セッション）」を狙う確率が高いです。可用性確保と包摂性を維持しつつ、これらの接合部をどう堅牢化するかが、現場の勝負どころです。

セキュリティ担当者のアクション

• フェデレーション実装の最低限ガードレール
  • OIDC: state/nonceの厳格運用、PKCE必須化、iss/aud/exp/iat/nonceの検証、JWKSのピン留めとローテーション管理、クライアント認証の強化（mTLS/DPoP）、トークンスコープの最小化を徹底します。
  • SSOイベントの標準ログ化: iss, aud, sub/ppid, acr/aal/ial, jti, client_id, redirect_uri, auth_time等を監査ログに記録し、SIEMで相関します。
• 認証器ポリシーと段階的強化
  • フィッシング耐性の高いFIDO2/パスキーやPIV/CAC等を高リスク操作で優先し、SMS/TOTPは代替に限定します。アカウント回復は「二経路・時間遅延・人手審査」の組み合わせで強化します。
• 反フィッシング設計と利用者導線
  • IdP選択UIは公式ドメイン明示・QR/リンクの検証ガイダンス・ワンクリックでの正規遷移を徹底します。ブランド成り済まし検知（監視ドメイン/同型文字/短縮URL）をTIで常時観測します。
• ベンダーリスクと契約管理
  • データ最小化、保管期間、削除証跡、バイオメトリクスの取り扱い、第三者監査（例: FedRAMP相当）とインシデント通知SLA、障害時の「信頼撤回・切替」の運用計画（キルスイッチ）を契約に織り込みます。
• 監視と検知ユースケース
  • AitM疑い（ブラウザ指紋不一致・OAuthエラー頻発・認証成功直後の地理/AS異常）、不自然な回復要求連打、合成ID兆候（同一端末/住所/口座の多重申請）をユースケース化します。
• レジリエンス演習
  • 「特定IdPの障害/侵害」「署名鍵の信頼撤回」「フェイルオーバーで別IdPへ切替」の机上演習・実機演習を四半期サイクルで回します。DNS/ルーティング/キャッシュ一掃まで含めた手順にしておくと実戦で効きます。
• 国内への適用示唆
  • 自治体・医療・金融の本人確認でも「複数IdPの選択制＋FIDO2中心＋フェデレーション堅牢化＋包摂的な回復フロー」をセットで導入し、UIコピーやドメイン整合でフィッシング余地を減らします。

参考情報

• Biometric Update: Medicare beneficiaries get new online identity verification options https://www.biometricupdate.com/202603/medicare-beneficiaries-get-new-online-identity-verification-options
• NIST SP 800-63 Digital Identity Guidelines（IAL/AAF/フェデレーションの基準全体像） https://pages.nist.gov/800-63-3/
• MITRE ATT&CK（参照技術）
  • Phishing（T1566）https://attack.mitre.org/techniques/T1566/
  • Valid Accounts（T1078）https://attack.mitre.org/techniques/T1078/
  • Account Manipulation（T1098）https://attack.mitre.org/techniques/T1098/
  • Use Alternate Authentication Material（T1550）https://attack.mitre.org/techniques/T1550/
  • Steal Application Access Token（T1528）https://attack.mitre.org/techniques/T1528/
  • Modify Authentication Process（T1556）https://attack.mitre.org/techniques/T1556/
  • Forge Web Credentials（T1606）https://attack.mitre.org/techniques/T1606/
  • Exploit Public-Facing Application（T1190）https://attack.mitre.org/techniques/T1190/
  • Create Account（T1136）https://attack.mitre.org/techniques/T1136/
  • Supply Chain Compromise（T1195）https://attack.mitre.org/techniques/T1195/

本件は“目新しさ”よりも“現実解としての堅実さ”が光る動きです。選択肢を増やしつつ、接合部を締める——この地味な仕事こそ、社会的に大きな被害を減らす近道です。現場の皆さんの設計と運用に、今日の示唆が一つでも役立つことを願っています。