「秘密の質問」には根本的欠陥があるという分析結果をGoogleが発表
2015年5月23日 16:02
minet 曰く、 Googleが2015年5月21日、ブログで「秘密の質問」には根本的な欠陥があるという研究結果を発表した(Google Online Security Blog、TechCrunch、ITmedia)。
Googleは、数百万件のGoogle Accountの復旧要求に使われた数億件の「秘密の質問」とその「答え」を分析した。その結果から、「秘密の質問」は根本的な欠陥を抱えているとの結論が得られという。
根本的な欠陥とは、「答え」の安全性と覚えやすさが両立することはまずない、という点。本人が覚えやすい簡単な答えは、たいてい他者も知っていたり、公的な情報が入手可能だ。
また、国によって人名や好きな食べ物や出身地が偏っている、といった理由で答えの推測がしやすい点も問題である。たとえば、英語ユーザーでは「What is your favorite food?(好きな食べ物は?)」の質問に対し、1回の試行で19.7%が突破できてしまう。その答えは「pizza(ピザ)」だ。ほかにも、いくつかの言語圏においては特定の質問に対して10回の試行で高確率に正解できる(つまり、上位10解答の割合が高い)例が示されている。
質問に対して(覚えやすい)偽の答えを登録しているユーザーもいる。電話番号と「What’s your frequent flyer number?(マイレージサービスの番号は?)」の答えが同じであるような例だ。しかし、こうして同じ偽の答えが使いまわされていれば、攻撃者が正解する確率を高める結果となる。「正しい」答えの推測が困難な質問でも、何か既知の情報で答えれば正解する率が上がるということだ。
そして、難しい答えはしばしば本人も忘れてしまう。米国内の英語ユーザーのうち40%は秘密の質問を思い出すことができなかったという。また、安全であると期待される質問での解答率はさらに低かったそうだ。
それでは、複数の質問に答えさせるのはどうか。これは確かに攻撃者が突破できる率を低下させるものの、ユーザーが答えを忘れてしまう率をより高める。
Googleは、ユーザーとWebサイト所有者は、「秘密の質問」を使うことを考え直すべきだと述べている。そしてアカウント復旧のための本人確認にはSMSや予備のメールアドレスなどの手段を利用し、「秘密の質問」はそれらが使えない場合の最後の手段とすべきだ、としている。
スラドのコメントを読む | ITセクション | Google
関連ストーリー:
Apple、iCloudからの写真流出事件について「システムに欠陥はない」と主張 2014年09月04日
イオン銀行が「秘密の質問」を導入 2014年03月26日
「秘密の質問」をネット上でカジュアルに聞き出そうとする試みに注意 2014年03月03日
Yahoo! JAPANの「秘密の質問」がIDと共に流出 2013年05月24日