ログオンに利用するパスワードを忘れた際に利用する「秘密の質問」を設定している人も多いだろうが、実際に役に立ったことがどれぐらいあるだろうか? 復旧メカニズムとしての「秘密の質問」の有用性について米Googleが疑問を投げかけている。なんでも、米国ユーザーでもっとも多い質問である「好きな食べ物は?」の回答を1発で見破られてしまう率は、なんと19.7%という。つまり10人中2人のハッカーが命中できるということになる。
Googleは5月21日、「秘密の質問」(Googleでは「セキュリティ保護用の質問」といわれている)についての調査を披露した。秘密の質問は、「ペットの名前は?」「好きな食べ物は?」「お母さんの旧姓は?」などの質問とそれに対する答えを設定することで、パスワードを忘れた際の復旧時に利用できるというものだ。
多くのWebサービスで利用されている手法だが、Googleによると、その安全性と効力についてはあまり研究されていなかったという。そこで、Googleサービスでユーザーが実際に設定している数千件もの秘密の質問を分析、ハッカーが回答を推測できる可能性を調べた。この結果を「Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google」として、5月18日から22日までイタリアで開催されている「24th International World Wide Web Conference(WWW 2015)」で発表した。
結論として、「秘密の質問は、スタンダロンのアカウント復旧メカニズムとして利用するには安全でもなければ、信頼性もない」としている。その理由として、「土台レベルでの欠陥」を指摘している。答えがある程度安全か覚えやすい、あるいはその両方であるためだ。つまり、1)答えが簡単な場合は安全ではない、2)答えが難しい場合は使えない、と具体的な指摘を行っている。
1)の答えが簡単な場合は、よくある情報や公開されている情報が利用されていることが多いという。Googleによると、英語圏のユーザーが「好きな食べ物は?」という質問の回答(“pizza”)を一発で推測できる可能性は19.7%としている。また、「最初の学校の先生の名前は?」という質問については、アラブ語圏のユーザーの24%は10回で推測できてしまうという。同じく10回で推測できてしまう質問は、スペイン語圏のユーザーの「お父さんのミドルネームは?」だという。韓国語圏の場合、「生まれた都市は?」という質問に10回の推測で答えられる率はなんと43%と報告している。
これに加えて、「電話番号は?」「マイレージの番号は?」など安全性が高いと思いがちな質問については、皮肉な現状となっていることがわかった。なんでも、37%が"偽の回答を設定しておけば見破られないだろう"という理由で意図的にフェイクの回答を設定しているが、実はユーザーが思いつくフェイクの回答は同じようなものであることが多く、逆に悪意あるハッカーにとっては見破りやすくなっているという。
2)の答えが難しい場合については、機能していない、つまり肝心なときに使えない、という状況が明らかになった。例えば、「図書館カードの番号は?」「マイレージの番号は?」などの、比較的安全と思われる質問については、前者は22%、後者になると9%しか思い出せなかったとのこと。米国の英語ユーザーの40%が、本当に必要なときに秘密の質問への回答が思い出せないと報告している。
Googleでは、安全性を高めるために秘密の質問を2つ(あるいはそれ以上)設定するという対策についても検証している。それによると、秘密の質問を複数設定することは悪意あるハッカーへの対策となりうるが、その一方で、アカウントを復旧できる比率が大きく下がってしまうとのことだ。
この調査では、もっとも簡単な質問と答えは「生まれた都市は?」で、ユーザーの79%が正確に思い出すことができたという。その次に簡単な質問は「お父さんのミドルネームは?」で74%が正確に回答できたという。だが、攻撃者がこれらの質問への回答を10回試すと、「生まれた都市は?」は6.9%、「お父さんのミドルネームは?」は14.6%で正確な回答を推測できるとのことだ。だが2つの質問に10回で正確に回答できる率は1%、そしてユーザーが両方に正確に回答できる率も59%と低くなることから、単純に質問の数を増やせばよいというものではないとしている。
このようなことから、Googleではアカウント復旧のための情報(SMS用の電話番号、バックアップ用のメールアドレスなど)を最新のものにすることを呼びかけている。
(記事提供: AndroWire編集部)