「秘密の質問」はほんとうに秘密の質問ですか?

rakuten-150217

突然だが想像してみてほしい。
「秘密の質問」の答えを知らずに公開していませんか。

オンラインサービスのパスワードを忘れたときの対策として利用されている、本人しか知らない「秘密の質問」とそれに対する「答え」を、言葉通りに信頼し「秘密の質問」とその「答え」だけで本人確認とするのはセキュリティ上、問題があると言わざるを得ません。

たとえば、「パスワードを教えて」という質問に答える人はいないでしょうが、可愛いペットの話で盛り上がる過程で「ペットの名前は」と聞かれたら、答えてしまいませんか。

でも、「ペットの名前」を「秘密の質問」と「答え」で使用していたら、「パスワード」を教えているのと変わらないのです。

「秘密の質問」については、「アカウント復旧の仕組みとして、秘密の質問だけで運用するにはセキュリティも信頼性も不十分」という結論に達した、とGoogleが発表していることは以前にも取り上げました。

「秘密の質問」はセキュリティ対策として欠陥あり
突然だが想像してみてほしい。 多くの人が感じていた「秘密の質問」への不安さは、やはり間違いではなかった。 オンラインサービスのパスワードを忘れたときの対策として登録を求められることがある「秘密の質問」はセキュリティ対策として「根本的に欠陥がある」という研究結果をG...

2014年9月には、iCloudに保存されていたアメリカの人気女優やモデルなど著名人のプライベート画像が多数流出した件でApple社が調査状況を公表しており、「ユーザ名、パスワード、セキュリティーのための質問を対象とした非常に的を絞った攻撃」によってアカウントが乗っ取られてしまったことが明らかにされており、「秘密の質問」も狙われたと考えられています。

スポンサーリンク

「秘密の質問」の誘導尋問(ソーシャルエンジニアリング)

「秘密の質問」では、「母親の旧姓は」「ペットの名前は」「出身小学校は」などという質問が設定されています。

これらの「質問」に対する「答え」を入力することで本人確認ができるため便利ではあるのですが、「質問」によっては第三者でも「答え」を推測できる場合があります。

たとえば「母親の旧姓」という質問に対する「答え」は、「佐藤」や「鈴木」という「姓」となります。

正直に「秘密の質問」への「答え」が設定されているとすると、「佐藤」や「鈴木」、「高橋」「田中」「伊藤」などと入力を繰り返していくと「答え」に該当してしまう可能性があります。

また「ペットの名前は」という質問では、TwitterやFacebookなど本人が利用するSNSから「答え」を推測されることも考えられます。

「出身小学校は」という質問でも、Facebookのプロフィールで出身校を登録していると、知らずに「答え」を公開していることになるかもしれません。

「ask.fm」という個人に対して質問を行い答えを公開するというサービスがありますが、その質問に「初めて観た映画のタイトルは?」「初めて飛行機で行った場所は?」「初めて遊びに行った海の名前は?」「十代の頃の親友の名前は?」という、どこかで見たことのあるような質問が投げかけられたことが話題になりました。

これらの質問は「Apple ID」のアカウント復旧に用いる「秘密の質問」で、何の気なしに「初めて見た映画は○○○!ラストシーンに衝撃を受けました」などと答えてしまうと、知らないうちに「秘密の質問」の答えを公開していることになります。

このように「秘密の質問」だと思っていても、「答え」が推測されてしまうこと、SNSなど発信していた情報に「答え」が含まれていることなどは十分に考えられます。

Twitterで「きょう誕生日の人RT」「#ペットの名前」などというものに反応して、自身の誕生日やペットの名前を公開してしまった場合、それらは「秘密の質問」ではなくなります。

その時は楽しくても、あとから悪意を持った第三者があなたの情報を探すために、その情報を利用するかもしれません。

これらからわかるように、「秘密の質問」への「答え」はパスワードと同じように第三者に推測されにくい内容にする必要があるといえるでしょう。

推奨する対策

利用しているオンラインサービスが「秘密の質問」以外に、「ワンタイムパスワード」など別の本人確認方法を提供しているのであれば、「秘密の質問」の利用中止を検討してください。

「秘密の質問」以外の本人確認方法が提供されていない場合は、「答え」を第三者に推測されにくい内容にすることが重要となりますが、複雑な「答え」にすると本人が思い出せなくなる可能性もあるでしょう。

そこで、情報処理推進機構(IPA)では、「本来の答え」に自分しか知らない「共通フレーズ」を追加して、第三者に推測されにくい「答え」とすることを推奨しています。

「 その秘密の質問の答えは第三者に推測されてしまうかもしれません 」:情報処理推進機構

「共通フレーズ」として自分しか知らない文字列を設定することで、文字数や文字種を増やすことができ、第三者から推測される可能性を減らすことができます。ただし、異なるサービスで同じ「質問」を選択した場合、推測されにくいとは言え「答え」が同じになります。このような場合は、「サービス毎に異なる識別情報」として、更にサービス名の一部を加えて「みかん カモしれない アイピイエイ」(ここでは「アイピイエイ」が識別情報)などとする方法もあります。

security-150707-ipa

また、パスワード管理ツールを使用しているのであれば、「秘密の質問」に対する答えも正直に設定する必要はなく、パスワードと同様に数字や文字・記号の羅列を記憶させておくのもおすすめです。

スポンサーリンク

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です