「秘密の質問」は欠陥品？ 正しい使い方とは：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

Googleが「秘密の質問」には欠陥があると指摘したが、本当に脆弱な機能なのだろうか。考え方を変えれば、実はとっても便利な機能だ。その方法を解説する。

[萩原栄幸，ITmedia]

　5月下旬、様々なニュースサイトでGoogleが発表した「秘密の質問」における調査結果が報じられた（原文リンク）。国内では直後に起きた日本年金機構の騒ぎで希薄になってしまった感じがするものの、重要なニュースだと思われる。今回はこれについて解説しよう。

「秘密の質問」とは？

• 「好きな食べ物はなんですか？」
• 「母親の旧姓は何？」
• 「生まれたところは？」
• 「小学生の担任の先生の名前は何ですか？」

　これらの「秘密の質問」は、インターネットのサービスでパスワードを忘れた場合に、IDやアカウントを復旧するための本人確認の質問などで使われるものだ。多分読者のみなさんも幾つか登録されていることだろう。Googleでは数百万件のGoogleアカウントの復旧で使われた数億件の「秘密の質問」とその「答え」の関係を分析したという。その結果は、要するに「ないよりマシ」ということである。

分析結果の一例（Google）

　例えば、「好きな食べ物はなんですか？」という質問に対して英語圏の人であれば、「pizza（ピザ）」と回答すると、19.7％の高確率で正解する。つまり、2割の人が「pizza」を回答にしていた。韓国ではもっと偏っており、なんと4割の人が「生まれた街はどこですか？」との質問の答えを「ソウル（ハングル文字）」にしていた。好きな食べ物に至っては43％が同じ回答を設定している。

　また、「ペットの名前はなんですか？」「学生時代好きな教科は？」などの質問であれば、知人がどのような回答を設定しているのかは簡単に予想がつくだろう。それでは、質問を変えればセキュリティの強度を増すことができるのだろうか。その効果は極めて難しい。なぜなら、英語圏の約4割が自分の設定した回答を忘れていた。この他にも定型質問である「マイレージ会員番号は何番ですか？」という問いでは、正答率は9％だったという。

　この結果からGoogleが言いたいことは、簡単な（しかも本人にしか分からないと思われる）質問を二重、三重にするなどしてセキュリティの強度を増すように工夫する、もしくは「バックアップコードを利用したり、セカンダリーメールを利用して、より確実な認証をすべきである」としている。

　「秘密の質問」は、Googleが指摘するように脆弱なものだろうか。何億件ものデータを分析した試みはすばらしいと思うが、筆者はGoogleの視点に大きな誤りがあると感じており、この分析の結果自体にさほど意味があると思えないのだ（ここにはない視点をGoogle社内で活用するかもしれない）。