Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

秘密の質問は回答を間違えた方が良い?

つぶやいてみた。

Lifehackerの1月17日記事に、パスワードを忘れた際の秘密の質問に対する内容がありました。

www.lifehacker.jp

このテーマは繰り返し見てきた気がするのですが、秘密のパスワードなるものが大体において「自分で設定できない選択式である」事から派生している問題と、「設定した事を忘れている」問題からくるのではないでしょうか。

 

例えば後者であれば、良くありがちなのが・・・パスワードを忘れた上に、秘密の質問に対する答えまで忘れてしまうケース。日本を代表する開拓者グループTOKIO」の国分さんもひどい目にあってきたようです。

www.rbbtoday.com

「昔の犬の名前は?」という設問にしたのに答えを忘れてしまうことを明かした。するとオリエンタルラジオ中田敦彦も「自分自身に結構な難問出しちゃう。なぜこの問題にしたんだ私はっていう」 (RBBTODAY記事より引用)

更に古くに設定した秘密の質問だと、答えが「ひらがな」・「カタカナ」・「アルファベット」を間違えただけでも正解にたどり着けないケースもあり(せきゅりてぃ、セキュリティ、security)、自分の過去の行動パターンを思い浮かべながら・・・試行回数全てを間違った事は私もあります。

 

一方で前者は、SNSの普及と共にリスクが上がってきています。例えば2014年にハリウッドセレブのiCloudからプライベート写真が流出したケースでは、一部は「秘密の質問」が破られた事が原因だとされています。

nlab.itmedia.co.jp

 

よくありがちな、「秘密の質問」として挙げられるのが、「母親の旧姓は?」といった質問ですが、例えばFacebookの友達つながりで母親を探し、旧友との会話が除ければ容易に旧姓を知れてしまう場合もありますし、上記のような著名人であればタレント名鑑的なものだけでなくても、公表されているプロフィールや関連記事を丹念に探せば、答えにたどり着けてしまうかも知れません。

お母さんの旧姓は
出生地は
ペットの名前は
初恋の人の名前は
初めての海外旅行は
卒業した小学校は

卒業時の担任の先生は
修学旅行で行った場所は
思い出の場所は
好きな食べ物は
尊敬する人は
初めて買った車は

(某銀行の秘密の質問例)

貴方がFacebookTwitter等の使っているSNSのプロフィール欄にある卒業校情報、ペットの写真、同窓会の写真恩師との会話のやりとり、車の写真、旅の情報・・・・ネット上にばら撒かれたSNSの個人情報をヒントに、もしかしたら秘密の質問への答えは推測できるという事はありませんでしょうか?あるいは会社の同僚や知人が、会話の中で、こうした質問への答えとなる情報を貴方が過去に与えていたとしたら、その同僚や知人が秘密の質問を破る可能性がありませんか?

例えばアメリカだと、「好きな食べ物」の答えが「ピザ」である確率がかなり高いと(一説には20%以上とも)いわれています。

先ほどの「母親の旧姓」に対する回答は日本だともう少し違う傾向があります。すなわち「佐藤」「鈴木」「高橋」「山田」と入れた際のヒット率が高いことです。(上位4苗字で約500万人の人口があります)

 

つまり、秘密の質問に対して真面目に答える事が正しいとは言えなくなってきている状況なのです。そうした場合には一工夫する事が有効です。Lifehackerでは積極的に回答を「間違う」事を推奨していました。

「母親の旧姓は?」と聞かれたら、母親が愛情表現に使っていたイラッとする言葉でも何でもいいので、好きな答えをつくり出しましょう。検索できない答えであれば、間違った答えをつくり出すことで、セキュリティを保つことができます。(Lifehacker記事より引用)

例えば「出生地」の秘密の質問に対し、地名以外の回答、例えば「ハンバーグステーキ」と答える事によって、攻撃側が仮に貴方のSNSから(本当の)出生地が「広島」だと知ったとしても、秘密の質問を突破できない状況を作り出すことができます。とは言え、自分でもこの組み合わせを覚えてられなくなると、本人も認証に失敗してしまう事になるので、更に工夫が必要となります。

 

例えば、、、Twitter上では先人達が創意工夫された回答例を出してらっしゃいました。

f:id:foxcafelate:20180211130739j:plain

北斗の拳ラオウ」を知ってらっしゃる方であれば、こうした「台詞」をベースにした回答も有効だと思いますが、コールセンターにてオペレータに話す際には色々と面倒な(恥ずかしい)事が起こるようです。

 

困った時のIPAさんですが、ずいぶん前に推奨案を出されてました。

www.ipa.go.jp

f:id:foxcafelate:20180211131252j:plain

標準回答+自分の固定共通フレーズ、という考え方。これも固定共通フレーズを1つだけ覚えておけば良いので便利そうです。

 

他のやり方で、(ここを攻撃者が見てない前提ですが)有効だろうと思うのは、同じ答えを繰り返すやり方です。例えば「母親の旧姓」→「山田やまだ」という様な組み合わせです。同じ回答ではありますが、漢字からひらがな、というパターンだけ覚えておけば、回答の字数制限にひっかからないように気をつけるだけで、攻撃者の総当り攻撃がヒットする確率も減りますし、SNSから回答を類推されても強度は強いかと思います。

更に「山田#やまだ」と、記号も入れる事で更に強度は増します。この位ならパターンを覚えておくのも大丈夫でしたらお勧めです。

結局のところ・・・秘密の質問というセキュリティ手段も、パスワードと同じ課題を抱えているのかも知れません。すなわち「覚えやすい」けれど「強度がある」という課題を。

 

パスワードを忘れた人のイラスト

 

更新履歴

  • 2018年2月11日 PM(予約投稿)