忍者ブログ

気になる最近の出来事や話題のニュースを動画でお知らせ

最近話題になった出来事やニュースを動画でご紹介。 お宝やレア動画もあり

[PR]

×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

「秘密の質問」は欠陥品? 正しい使い方とは

【閲覧注意】大人の時間

 5月下旬、様々なニュースサイトでGoogleが発表した「秘密の質問」における調査結果が報じられた。国内では直後に起きた日本年金機構の騒ぎで希薄になってしまった感じがするものの、重要なニュースだと思われる。今回はこれについて解説しよう。

●「秘密の質問」とは?

・「好きな食べ物はなんですか?」
・「母親の旧姓は何?」
・「生まれたところは?」
・「小学生の担任の先生の名前は何ですか?」

 これらの「秘密の質問」は、インターネットのサービスでパスワードを忘れた場合に、IDやアカウントを復旧するための本人確認の質問などで使われるものだ。多分読者のみなさんも幾つか登録されていることだろう。Googleでは数百万件のGoogleアカウントの復旧で使われた数億件の「秘密の質問」とその「答え」の関係を分析したという。その結果は、要するに「ないよりマシ」ということである。

 例えば、「好きな食べ物はなんですか?」という質問に対して英語圏の人であれば、「pizza(ピザ)」と回答すると、19.7%の高確率で正解する。つまり、2割の人が「pizza」を回答にしていた。韓国ではもっと偏っており、なんと4割の人が「生まれた街はどこですか?」との質問の答えを「ソウル(ハングル文字)」にしていた。好きな食べ物に至っては43%が同じ回答を設定している。

 また、「ペットの名前はなんですか?」「学生時代好きな教科は?」などの質問であれば、知人がどのような回答を設定しているのかは簡単に予想がつくだろう。それでは、質問を変えればセキュリティの強度を増すことができるのだろうか。その効果は極めて難しい。なぜなら、英語圏の約4割が自分の設定した回答を忘れていた。この他にも定型質問である「マイレージ会員番号は何番ですか?」という問いでは、正答率は9%だったという。

 この結果からGoogleが言いたいことは、簡単な(しかも本人にしか分からないと思われる)質問を二重、三重にするなどしてセキュリティの強度を増すように工夫する、もしくは「バックアップコードを利用したり、セカンダリーメールを利用して、より確実な認証をすべきである」としている。

 「秘密の質問」は、Googleが指摘するように脆弱なものだろうか。何億件ものデータを分析した試みはすばらしいと思うが、筆者はGoogleの視点に大きな誤りがあると感じており、この分析の結果自体にさほど意味があると思えないのだ(ここにはない視点をGoogle社内で活用するかもしれない)。

●そもそもの意義とは?

 よく考えてみたい。そもそも「秘密の質問」とは、どんな存在なのだろうか。筆者は「パスワードの一種」だと考えている。

 たいていの人は「意味のない文字列のパスワード」を記憶できない。それなら、パスワードに少しでも意味を持たせてみる。こうすることでアカウントなどを復旧する時に、「秘密の質問」を頼りに本人であれば、すぐに記憶をたどって質問に対する答えを入力できる。つまり、広い意味では「パスワード」であることに変わりはない。

 Googleのレポートをみて筆者が驚いたことは、「秘密の質問」に答えた数億ものユーザー、そして、分析をしたGoogle自身が、とても「素直」であるという点だ。

 人によっては、インターネットで使うIDやパスワードが既に100種類を超えている。この全てを意味のないランダムな文字列にして管理することは、もはや不可能だろう。パスワードリスト攻撃が危険なので「パスワードの使い回しをやめよう」といくら叫んでも、一向に改善しない。それは、「人間とは忘れる動物」だからである。

 さらに日本語は難しい。例えば、「あなたの生まれた都市はどこですか?」という秘密の質問の答えが横浜だとしても、文字としては「横浜」「よこはま」「ヨコハマ」「yokohama」「YOKOHAMA」「Yokohama」と、幾らでもある。登録時の気分でどう入力したのかを覚えていない場合もあるだろう。試行回数を超えてしまってロックされた経験を持つ人も多い。

 「秘密の質問」へ素直に答えて悩むような事態が起きるなら、どうすればいいか。簡単である。“秘密の”というフレーズを無視すればいい。筆者がアドバイスした知人は、「秘密の質問」への答えを次の考え方で工夫した。

・「秘密の質問」は単なるパスワードである
・質問の種類は何でもいい。任意に選択する。例えば、「母方の旧姓はなんですか?」にする。
・この質問の答えは、以前に紹介したセキュリティレベル「ランクC」に相当するもの。答えの種類は1つだけにする。1種類だから質問には全く関係のないフレーズになり、例えば「私は富士山が好き」でよい

Aランク:金銭に直接関係する最重要なもの

Bランク:業務に関連するもの

Cランク:影響度「中」、個人的には「大」と思ってしまうもの

 あとはどのWebサイトであっても、どんな質問であっても答えは1つでいい。上の例なら、「母方の旧姓はなんですか?」との質問に「私は富士山が好き」と入力するだけ。これが正解だ。質問の内容と回答の内容が合わなくてもいい。答えが“単語”として登録されている以上、それが正解である。

 ただし注意点が2つある。1つは絶対に口外しないことだ。デジタル情報で保存もしてはいけない。ただし、紙にメモ書きして、誰も知らない場所に保管するなら構わない。もう1つは、Webサイトによって1バイトコードしか使えないケースである。「私は富士山が好き」とは別の答えを用意し、例えば、1バイトコードで最大16文字しか入力できないWebサイトなら、「watashiwafujisan」とする(16文字なので途中まで)。

 いかがだろうか。このように対応しておけば、「秘密の質問」を突破されてしまう確率は相当に下がるだろう。何よりユーザーが覚えやすい。しかも、Webサイトごとに答えを変える必要はない。質問の内容と答えの文字を合わせる必要が全くないからだ。なお、以前に紹介したネットバンキングなどセキュリティレベルが「ランクA」のところでは別のフレーズが望ましいだろう(ただし「秘密の質問」はあまり聞かれないが)。だまされたと思って、ぜひ一度は試していただきたい。

 「好きな食べ物はなんですか?」との質問に、素直に「ピザ」と答える人はステキな人なのだろう。しかし、それで情報が漏えいしても個人の責任としかいいようがないのである。

●萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。



引用:「秘密の質問」は欠陥品? 正しい使い方とは


せどりインサイダープロジェクトで稼げるまでサポートします
PR
" dc:identifier="http://todaynews.blog.shinobi.jp/%E9%9F%B3%E6%A5%BD%E9%96%A2%E4%BF%82/%E3%80%8C%E7%A7%98%E5%AF%86%E3%81%AE%E8%B3%AA%E5%95%8F%E3%80%8D%E3%81%AF%E6%AC%A0%E9%99%A5%E5%93%81%EF%BC%9F%E3%80%80%E6%AD%A3%E3%81%97%E3%81%84%E4%BD%BF%E3%81%84%E6%96%B9%E3%81%A8%E3%81%AF" /> -->

コメント

現在、新しいコメントを受け付けない設定になっています。

トラックバック