2017. 07. 21 Update !

イマ旬

「秘密の質問」は安全か?

あなた自身であることを確認するセキュリティ機能「秘密の質問」。あなたのアカウントは、この質問で本当に守られているのでしょうか?秘密の質問とはどういうものなのか、秘密の質問に関するセキュリティ侵害の事例、その脆弱性とセキュリティ対策について考えます。

飯塚 智
株式会社NTTデータ セキュリティ技術部
課長代理 飯塚 智

イマ旬の注目キーワード
秘密の質問

秘密の質問とは?

秘密の質問とは、事前に設定した質問とその答えで本人確認を行う機能のことです。パスワード再発行やアカウントへのアクセス※1でお馴染みですが、そのセキュリティに危険性が指摘されています※2

2015年5月、Google社※3はGoogleアカウントの復旧に使用された数億件の質問とその答えからハッカーが正解する可能性を調査し、「秘密の質問は、それ単体でアカウント復旧の仕組みとして使用するには安全性も信頼性も十分ではない」と結論付けました。

例えば「好きな食べ物は?」という質問に、英語を母国語とする利用者の19.7%が「ピザ」と答え、スペイン人利用者への「あなたの父親のミドルネームは?」という質問には、10回の推測で21%が正解に辿り着けると報告しています。

秘密の質問に関するセキュリティ侵害の事例

(1) 米内国歳入庁(IRS)のオンラインサービスに不正アクセス※4
2015年5月、IRSは2015年2月~5月にかけてオンラインサービス「Get Transcript」で約10万人分の納税情報が不正アクセスの被害にあったことを公表しました。攻撃者は利用者の社会保障番号や住所、生年月日などの情報を入手し、アカウントにアクセスしたと見られています。

アクセスの際は、本人確認のために秘密の質問に答える必要がありましたが、攻撃者はWebの様々な場所から個人情報を収集してその答えを見つけ出し、正確に答えていました。攻撃者によって盗まれ、売買されるデータの数が増えるほど、さらにセキュリティ侵害は増えていくだろうとセキュリティの専門家は指摘しています。

(2) Yahoo! JAPANに不正アクセス※5
2013年6月、中学3年の生徒が同級生のIDでヤフーサイトにアクセスしメールを盗み見たとして書類送検されました。生徒はパスワード忘れの際に利用する「救済機能」画面で、同級生の秘密の質問「ペットの名前」と生年月日に正しく回答することによりパスワードを変更し、不正アクセスしていました。

同級生であれば生年月日やペットの名前は比較的容易に入手できるため、秘密の質問はセキュリティ効果を十分発揮できません。あらかじめ用意された質問から選択する場合、例えば「あなたの母親の旧姓は?」などは、攻撃者が「鈴木」、「佐藤」などのよくある姓を用いて入力を繰り返すことで答えを当ててしまう危険性があります。

それでは、これらの脆弱性にはどのような対策が有効なのでしょうか?

サービス利用者の代表的な対策

● 秘密の質問を使用しない、または併用する
利用しているサービスの本人確認方法を確認します。秘密の質問を聞かれても、それ以外の本人確認方法が提供されていたら、秘密の質問は使わない、もしくは併用して利用します。

● 答えに推測されにくい内容を設定する
用意された中から秘密の質問を選択しなければならない場合、推測されにくい答えを設定することで攻撃可能性を減らせます。しかし、答えを複雑にすると、本人が思い出せなくなる懸念があります。IPAでは、本来の答えに自分しか知らない共通フレーズを追加することを推奨しています。

例えば、サービスAでは「あなたの母親の旧姓は?」に「鈴木カモしれない」、サービスBでは、「あなたの出身地は?」に「東京カモしれない」などのように、「カモしれない」を追加します。

サービス提供者の代表的な対策

● 秘密の質問とワンタイムパスワードによる二段階認証など、複数の本人確認方法を用意する。
● 利用者が質問の内容を自由に記述できるようにする。
● 質問内容は暗号化して保存する。
● 利用者が答えに設定できる文字数や文字種を可能な限り増やす。
● 答えの内容をソルト付きハッシュ値※6で保存する。
● 利用者が設定した質問、答えはいつでも変更できるようにする。

まとめ

サービス提供者、利用者ともに「秘密の質問」を利用しているから安心・安全とは言えません。秘密の質問のセキュリティの脆弱性が指摘され、それに起因したセキュリティ侵害の事件が実際に起こっています。

利用者は、そもそも秘密の質問以外の本人確認方法を選択肢として検討する、秘密の質問を使用せざるを得ない場合には、答えの内容を工夫する対策を心掛けてください。またサービス提供者においても、複数の本人確認方法を利用者に提供する、もしくは秘密の質問と答えの設定のさせ方を工夫する対策を推奨します。

※1 「アカウントにアクセスする」とは

利用者が利用者自身のアカウント情報を閲覧、修正、削除する機能等にアクセスすることをさす。

※2 IPA, ”その秘密の質問の答えは第三者に推測されてしまうかもしれません”

https://www.ipa.go.jp/files/000046585.pdf

※3 Google, “Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google”

https://research.google.com/pubs/pub43783.html

※4 IRS, “IRS Statement on the ‘Get Transcript’ Application”

https://www.irs.gov/uac/newsroom/irs-statement-on-the-get-transcript-application

※5 NAVER, “YAHOO!に中学生が不正アクセス、秘密の質問によるパスワードリセット仕様が事件に”

https://matome.naver.jp/odai/2137163604463842701

※6 「ソルト付きハッシュ値」とは

ソルトと呼ばれる文字列を付加して計算したハッシュ値のこと。