IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、パスワードを忘れてしまった場合などに使われる「秘密の質問」について注意喚起を行っている。
「パスワードは使い回さない」といったことから、アカウントごとに異なるパスワードを使用することが望ましい。実際、そのようにしているユーザーもいると思う。しかし、その欠点は、使用頻度の低いパスワードは、覚えていられないことである。こうしてパスワードを忘れてしまった場合、多くのサイトではパスワードリマインダといった機能を導入している。この手順であるが以下の通りである。
- パスワードの再発行などを申し込む
- その際に本人しか知り得ない秘密の質問に答える
- 新しいパスワードをメールで通知
これとは異なる仕組みもあるが、おおむねこういった手順が使われる。ここで重要なのは、本人の確認として「秘密の質問」が使われることである。しかし、セキュリティ上、重要な懸念があるとのことである。具体的には、2015年5月にGoogleが発表した内容によると、安全性も信頼性も十分ではないとのことである。
具体的には、米国人にとって「好きな食べ物」という質問に対し、1回の推測だけで19.7%の確率で突破されることが判明した。ちなみに、この答えは「ピザ」である。つまり、本人だけしか知り得ない秘密になっていないのである。
「秘密の質問」の注意点
「秘密の質問」は、あらかじめ用意されることが一般的である。そこで使われるのは、例えば以下のような質問が用意されている。
- あなたの母親の旧姓は?
- 初めて飼ったペットの名前は?
- 通っていた幼稚園(保育園)の名前は?
- 生まれた町名は?
- 好きなスポーツのチーム名は?
- お父さんの出身地は?
- 中学校三年生の時の担任は?
- 子供の頃のヒーローは誰?
- 初めて乗った車の車種は?
- 子供の頃の憧れの選手は?
- 初恋の人のファーストネームは?
たしかに本人でなければ、わからないような質問のようにみえる。
米国の例ではないが、たとえば、母親の旧姓の場合、「鈴木」や「佐藤」といった一般的な姓を入力することで、本人になりすますことができてしまうこともある。ペットの名前に関しても、ネット上でペット名前ランキングを調べる、本人のSNSなどを閲覧し、ペットの名前を調べることで、正しい答えを推察することも不可能ではないと、IPAでは指摘する。さらにIPAでは、パスワード同様に第三者に推察されにくいもの「答え」に設定する必要があると、注意喚起する。
ユーザーが行うべき対策
IPAでは、まず「秘密の質問」以外に、ワンタイムパスワードなどの二段階認証などがないかを確認するように推奨する。状況によっては、「秘密の質問」以外の方法を採用する、もしくは併用することで、万が一の事態でもなりすましなどを防ぐ対策を講じることである。
そして、「秘密の質問」を使い続けるのであれば、「答え」に本人しか知らない「共通フレーズ」を追加するように推奨している。
実際に、その例が図3である。「カモしれない」という共通フレーズを追加することで、第三者による推察を困難にしている。パスワード同様、あまり複雑な「答え」にしてしまうと覚えることが困難になってしまう。そこでこのような対策が有効な方法として考えられるだろう。
しかし、異なるサービスで同じ質問を選択すると、「答え」もすべて同じものとなってしまう。そこで、サービスごとに異なる識別情報を追加することで、セキュリティを高める方法もある。具体的には、図3の「みかんカモしれない」であれば、識別情報の「アイピイエイ」を最後に追加する。つまり、「みかんカモしれないアイピイエイ」がその「答え」となる。ここまで長い「答え」にすれば、第三者による推察は不可能に近い。
パスワードリマインダとして「秘密の質問」を使うところは多い。しかし、上述のように悪用される可能性もある。パスワードと同じレベルの管理が求められるということである。くれぐれも注意してほしい。