秘密の質問「母親の旧姓」、読めないんですけど……半径300メートルのIT

ask.fmで「初めて観た映画のタイトルは?」なんていう質問が投げかけられる話が盛り上がっています。これは……どうやら、特定のWebサービスの「秘密の質問」そのもののようです。

» 2015年07月07日 08時00分 公開
[宮田健ITmedia]

 ask.fmという、個人に対してインタビューや質問を匿名で行い、その答えを公開するというWebサービスがあります。読者の疑問に気軽に答えることができるため、多くのネット有名人が利用しているようで、Twitterのタイムラインにもその内容が流れてくるのをよく見ます。

 ところが、そこにちょっと気になる質問が投げかけられるという話が盛り上がっています。気になる質問とは「初めて観た映画のタイトルは?」「初めて飛行機で行った場所は?」「初めて遊びに行った海の名前は?」「十代の頃の親友の名前は?」……。どこかで見たような質問ですね。これはどうやら、特定のWebサービスの「秘密の質問」そのもののようです。

私が秘密の質問に正直に答えない理由

 Webサービスではパスワードの初期化などに「秘密の質問」が利用されますが、これは百害あって一利なしだと思っています。それは以前の本連載でも何回か取りあげておりました。


 その理由は、上記のような誘導尋問(ソーシャルエンジニアリングと呼ばれます)で探り出そうという人間が出てくるためです。同じような理由で、Twitterにおける「きょう誕生日の人RT」「#ペットの名前」などというものにも反応してはいけません。一回でも秘密の質問に正直に答えてしまったら、入力したその答えはパスワードと一緒。絶対に人には言えませんし、使い回しもしてはいけないのです。


 そしてもう1つ、私がこの「秘密の質問」を全く信用できない理由は、サービスの作り手がこれをパスワードと同じレベルの重要情報だと考えていない可能性が高いからです。本来、パスワードとは、データベースにそのまま保存してはいけない情報です。平文のままパスワードを保存しているサービスで、万一情報漏えいが起きてしまうと、パスワードの使い回しが横行する今、悲劇的な結果になります。そのため、Webサービスは最低限、ハッシュ化などの手法を使い、生のパスワード自体は保存しないことが必須です。

 では、秘密の質問の答えはどうでしょうか。これはあくまで私の想像でしかありませんが、その答えを平文で保存しているサービスがほとんどではないかと推察します。この部分をきっちりソルトを加えてハッシュ化して……という安全策に考えが回るのであれば、そもそも秘密の質問などという仕組みを採用しないでしょう。

 実際、2013年に発生したAdobeの情報漏えいにおいてはパスワードのヒントが流出しておりますし、同じく2013年に発生したYahoo! JAPANの情報漏えいでも、秘密の質問とその回答が漏えいしたと言われています。秘密の質問はセキュリティレベルを高めるように見えて、実際は攻撃者にとって大きなヒントになりうる仕組みです。

Adobeでよく使われるパスワード Top 10 - セキュリティは楽しいかね? Part 2

ヤフー株式会社様に「秘密の質問と回答」に関して要望します | 徳丸浩の日記


秘密の質問に利用者が取れる対策は?

 利用者が取れる対策は、パスワードと全く同じで「使い回しをしない」です。とはいえ、「母親の旧姓は?」といった質問に対する解答は1つしかないので、秘密の質問に対しては「質問」と、「質問には全く関係ない、サービスごとに異なる文字列」を用意しなくてはなりません。

メモ

 パスワードも覚えられないのに、秘密の質問とその解答文字列なんて覚えられるわけがないですよね。私も同感です。結果として、私はパスワード管理ソフトのメモ欄に、質問の文字列と解答の文字列をこんな感じで保存しています。

 私はこの「秘密の質問」を強要するサービスを、セキュリティレベルが低いかもしれない、と警戒するようにしています。利用者に対してメリットがなく「やったつもりのホスピタリティ」的なこの仕組みが、1日も早く絶滅することを期待しています。

著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ