秘密の質問

秘密の質問(ひみつのしつもん)またはセキュリティ質問(セキュリティしつもん、英語: security question)は、認証者によって用いられる共有秘密鍵[1]の一形式である。 「あなたのペットの名前は?」「あなたの母親の旧姓は?」「初めて見た映画のタイトルは?」などの質問が秘密の質問として挙げられる[2]銀行(例えばりそな銀行[3])、通信会社、インターネット事業者(ウェブサイト)が更なるセキュリティとして導入しているが、その効果については非難の声も多く、実装によっては逆にセキュリティホールになってしまっている場合もある[4]

用法

秘密の質問は以下の二通りに用いられることがある[4]

  1. 顧客がパスワードを忘れてしまい、再発行やリセットを求める際の本人確認として→セルフサービス・パスワード・リセット
  2. 普段とは異なる環境(使用しているコンピュータ、IPアドレスなど)からログインが試行された際の本人確認として→リスクベース認証

沿革

遅くとも20世紀初頭から、金融機関は秘密の質問を利用した顧客の認証を行ってきた。1906年に開かれたアメリカ銀行協会の会合で、メリーランド州ボルチモアの銀行家ウィリアム・M・ヘイデンは、自行では顧客による署名を補うものとして秘密の質問を利用している、と説明している。ヘイデンは、新しい銀行口座を開設する際に発行される自行の銀行カードには、顧客の出生地、居住地、母親の旧姓、職業年齢を書きこむ欄を設けていることを説明した。

ヘイデンは、これらの欄のいくつかは空白のままであることが多くなってしまっているものの、母親の旧姓は「個人を特定する強力な試み」として有用であることを指摘した。彼は、顧客やその家族以外の者によって顧客の銀行口座から金が引き出されることはほとんどないことを確認し、母親の旧姓は家族の外ではほとんど知られていないばかりか、口座を開設しようとする人ですらも「この質問の答えが準備できていない」ため、認証に有用だと話した[5]。今日の慣行では、クレジットカード会社は、紛失したカードの代わりを発行する前に、顧客の母親の旧姓を確認することがある[1]

2000年代からは、秘密の質問はインターネット上で広く用いられるようになった[1]。顧客自身の操作によってパスワードをリセットさせる際に、秘密の質問を使うことで顧客相談窓口のコストが削減された。

問題と課題

対人式の顧客相談窓口は正確では秘密の質問の答えに対して柔軟に対処し得るが、コンピューターはそれほど臨機応変には対応してくれない。そのため、顧客は質問の答えの正確なつづり(例えば、ピザとピッツァ)を覚えておく必要がある。

あらゆる人が用意された質問に答えられるわけではない(例えば、映画を見たことのない人は「初めて見た映画のタイトルは?」という質問に答えられない)ことに留意する必要もある。RSAセキュリティでは、銀行向けサービスとして、150もの質問の中から選べるようにしているし[1]、質問自体を顧客が入力できるようにしているウェブサイトも存在する[6]

セキュリティ上の問題

オンラインで秘密の質問を入力させることで、キーロガー攻撃に対して脆弱になる。

SNSの普及に伴い、旧来式の秘密の質問の多くはもはや有用でも安全でもない。セキュリティ保護用の秘密の質問は実質的にパスワードと同等であることに注意しなければならない[7][8]。つまり、SNSで秘密の質問の答えとなる情報を共有してはいけないし、そうした情報をSNSに登録するのもいけない[9]。しかし、実際には誕生日情報やペットの名前情報をtwitterに投稿してしまう人は少なくない[8]

一部の質問は答えが偏っているために、少ない試行回数で質問の答えが言い当てられてしまうことがある[10]。例えば、英語圏の顧客であれば、「好きな食べ物」としてピザを設定することが多く、不正アクセスしようとする者が対象者の好きな食べ物を知らずとも「ピザ」と入力すれば19.7%の確率でこれを突破できてしまう[10]。似たような脆弱性を持つ質問は他の言語圏にも存在し、韓国語圏(大韓民国)の顧客は「生まれた都市は?」という質問に対し、10回答えを入力することで39%の確率でセキュリティを突破されてしまう[10]

日本語圏の場合は、確率自体は例示されていないものの、情報処理推進機構が「あなたの母親の旧姓は?」という質問に対して、「佐藤」や「鈴木」などのありふれたが入力され突破される可能性を挙げている[7]

セキュリティ対策

秘密の質問に対する最も堅牢なセキュリティ対策は、「秘密の質問を使わない」ことである[7][9]。また、秘密の質問の答えをパスワードとみなして、質問内容にかかわらず「DltkrEeIecilBc」などのランダムな文字列を入力し[8]、それをパスワードマネージャーに記録させておくという方法も取れる[4]

しかし、一般ユーザーにはパスワードマネージャーは普及していない。より簡易的なセキュリティ対策として、質問の答えの後ろに共通な文字列(例えば、「空気清浄機」)を加えた文字列やさらにその後ろにウェブサイト名の一部(例えば、「ウィキペ」)を加えた文字列を質問の答えとすることが情報処理推進機構によって提唱されている[7]

  1. yahoo.co.jpが秘密の質問として「好きな食べ物は?」と聞いてきた
  2. 好きな食べ物は「唐揚げ」
  3. 後ろに「レモン」を加えて、「唐揚げレモン」
  4. さらに後ろに「やほー」を加えて、「唐揚げレモンやほー」とする
  5. 「唐揚げレモンやほー」がyahoo.co.jpの「好きな食べ物は?」という秘密の質問の答えとなる

批判

多くの専門家が秘密の質問の有用性に疑問を呈している[11][12][13]。セキュリティの専門家であるブルース・シュナイアーは、秘密の質問の答えが個人に関するおおっぴらな事実であるため、パスワードよりもクラッカーが推測しやすいと指摘している[14]

EGセキュアソリューションズ徳丸浩は、「母親の旧姓やペットの名前は自分しか知り得ない情報ではない」「秘密の質問がパスワード再設定のような大きな権限を持つのは問題が多い」と話した[4]

トレンドマイクロ社日本情報処理推進機構は、秘密の質問以外のパスワードリセット手段が用意されているのであれば、そちらを使った方がよいと指摘している[7][9]

ITmediaの記事で吉村哲樹は、より安全で確実に本人確認できる手段として2要素認証があるにもかかわらず、いまだに秘密の質問を利用しているサイトはセキュリティレベルを疑うべきだと主張している[8]

関連項目

出典

  1. ^ a b c d Levin, Josh (2008年1月30日). “In What City Did You Honeymoon? And other monstrously stupid bank security questions”. Slate. 2019年10月3日閲覧。
  2. ^ 「秘密の質問」に答えておけばパスワードを忘れても大丈夫!……ホントに大丈夫?”. ITmedia エンタープライズ. 2019年10月1日閲覧。
  3. ^ [1]
  4. ^ a b c d xTECH(クロステック), 日経. “役立たずの烙印、パスワードにまつわる「秘密の質問」”. 日経 xTECH(クロステック). 2019年10月1日閲覧。
  5. ^ William M. Hayden (1906), Systems in Savings Banks, The Banking Law Journal, volume 23, page 909.
  6. ^ えらべる倶楽部FAQ”. elavel-club.custhelp.com. 2019年10月3日閲覧。
  7. ^ a b c d e 2015年7月の呼びかけ:IPA 独立行政法人 情報処理推進機構”. www.ipa.go.jp. 2019年10月3日閲覧。
  8. ^ a b c d 「秘密の質問」に答えておけばパスワードを忘れても大丈夫!……ホントに大丈夫?”. ITmedia エンタープライズ. 2019年10月3日閲覧。
  9. ^ a b c 「秘密の質問と回答」、設定は慎重に”. インターネット セキュリティ ナレッジ. 2019年10月3日閲覧。
  10. ^ a b c Googleが「秘密の質問」の安全性と利便性に疑問符を投げかけるレポートを公開”. GIGAZINE. 2019年10月3日閲覧。
  11. ^ Robert Lemnos, Are Your "Secret Questions" Too Easily Answered?, MIT Technology Review, May 18, 2009 (retrieved 21 May 2015)
  12. ^ Victor Luckerson, Stop Using This Painfully Obvious Answer For Your Security Questions, Time Magazine, 21 May 2015 (retrieved 21 May 2015)
  13. ^ Elie Bursztein, New Research: Some Tough Questions for ‘Security Questions’, 24th International World Wide Web Conference (WWW 2015), Florence, Italy, May 18 - 22, 2015; Google Online Security Blog, 21 May 2015 (retrieved 21 May 2015)
  14. ^ Bruce Schneier. “The Curse of the Security Question”. 2019年10月3日閲覧。