Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

"母親の旧姓"がベストでない理由

秘密の質問は、パスワードリセットの認証手段としては脆弱な方法となりつつあるだけに、そこを触れないのは、折角良い記事なのに残念でした。

president.jp

 

「IDは使い分けるのが鉄則です。『秘密の質問』ではわかりやすい質問や回答を設定しない。一番知られにくいのは、SNSで発信する可能性の低い『母親の旧姓は?』ですね。そんな対応法はもちろんですが、最後は『やらかさないこと』としかいえません。(中略)

弁護士の板倉陽一郎氏が指南する対策も、法律論ではなく、根本的なふるまいについてのものだ。

SNSで情報を流出されたくないなら、書かないしかない。スマホSNSの設定を変えたりして、特定される情報を限りなく消すしか方法はありません。あとは、友達を選ぶ(笑)。勝手に人の情報をアップする人とは付き合わないことです」

(プレジデント記事から引用)

 

◆キタきつねの所感

雑誌の記者さんに要点をまとめられてしまったのかも知れませんが、何点か違和感がありました。

ネットジャーナリストの山野氏は、記事の中で「SNSに掲載された情報を元にアカウント侵害される」という点を指摘されており、納得ができる事を仰っています。

例示として挙げられているモデルケースは、TwitterとPixivやYahoo等の他のSNSで同じIDを使っているユーザが、Pixivに生年月日を掲載していたり、初めて訪れた外国についてTwitterでつぶやいたりしていた場合、個人情報を特定されてしまう=秘密の質問を突破されてしまう、という内容で、Facebookで誕生日を公開していたり、そのまま掲示してなかったとしても、誕生日おめでとうのメッセージが外から見える方も居るので、そちらの方が簡単かな・・・とは思いましたが、複数のSNS(公開情報)から秘密の質問を破る方法(の例示)としては納得できるものです。

 

しかし、NIST(SP800-63B)はそうは言ってません。

パスワード定期変更不要だけ一人歩きしてないか - Fox on Security

 

JIPDECの日本語翻訳ではP20に

f:id:foxcafelate:20190916074557p:plain

という記載があり、特定のタイプの情報すなわち「秘密の質問」の使用について【SHALL NOT】と書いています。

 

NIST文書での【SHALL NOT】は強い否定(強制)である事がP6で定義されており、この事から秘密の質問は使ってはいけない、これがセキュリティ・ベストプラクティスであると言っても過言ではないかと思います。

f:id:foxcafelate:20190916074819p:plain

 

ネット(SNS)アカウントの侵害事件が数年前に多発した事から、この記載に落ち着いたのだと思います。

NISTでは、認証を多要素認証等で強化しようとしている際に、昔は問題なかったであろう個人しか知らない秘密が、SNSの発展により、自分で公開してしまっている・・・という状況を考えると、答えが類推されやすい『秘密の質問』をパスワードリセットの方法として使用する事は止めるべき、、、とまずは言ってもらいたかったなと思います。

 

その上で、比較的安全な「秘密の質問」として「母親の旧姓」を選ぶ事については、納得できる部分もありますが、、、しかしまだ脆弱だと思います。(※比較的マシである事は否定しませんが)

 

母親の旧姓をを使っても、侵害されてしまう可能性があるケースを考えると、2つ思いつきます。

 

①既に他のサービスプロバイダーから漏れている(※解読されている)ケースがある

Facebook等で本人と母親が繋がっている場合、特にご年配の母親が友人らとコミュニケーションを取っている中に答えが出てきてしまっているケースがある

 

①は過去に秘密の質問も結構漏れている事件がそこそこあって(主に海外)、ハッシュ化されてなかったケースもあるからです。最新のID(=メールアドレス)が合致する等、他の要素も絡みますので攻撃が成功する確率は低い気もしますが、ID(=メールアドレス)を使い回ししている人はヒット率が高いので注意が必要かと思います。

②は・・記事でも折角、SNSからの意図しない個人情報(秘密の質問の答え)漏洩のリスクを書かれているので、当然こちらも考えた方が良かったのでは、と思いますが、SNSの中でも特に実名利用が前提のFacebookの場合、母親が友達である方・・・母親の投稿内容まで普段から注意している事は無いかと思います。意外と「親族(サプライヤー)」が投稿している内容には機微な、あるいは自身の情報も含まれていますので、親族サプライヤー攻撃が成立してしまう可能性・・・意外とあるかも知れません。 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 ä¸­å¹´ã®æ¯å­ãå¿éããæ¯è¦ªã®ã¤ã©ã¹ã


 

更新履歴

  • 2019年9月14日PM(予約投稿)