is702
ニュース

「秘密の質問」はどこまで有効か

2015/07/09

グーグルは7月8日、同社公式ブログで「新リサーチ:『秘密の質問』を問い直す」と題する記事を公開しました。

現在、多くのオンラインサービスで、パスワードを忘れたときなどの本人確認の補助に、「秘密の質問」を用いています。「はじめて飼ったペットの名前は?」「好きな食べ物は?」「お母さんの旧姓は?」といった質問に対して、その答えを設定したユーザも多いでしょう。

一方で、この「秘密の質問」について、あまり意味がないのでは、という指摘もありました。たとえば「好きな食べ物は?」と質問しても、「ラーメン」「カレー」「ハンバーグ」「寿司」など、定番の回答をすれば、かなりの高確率で当てることができるからです。

今回グーグルは、同社に寄せられた数百万に及ぶ事例を分析し、第三者によって質問の答えが当てられてしまう確率などを算出。その結果を発表しました。同社は結論として、「秘密の質問」は、アカウントの復旧用に使用するには、「安全でもなければ信頼性も十分ではない」と結論づけました。たとえば英語を使うユーザの場合、「好きな食べ物は?」と質問しても、「ピザ」と答えれば19.7%の確率で一回目で当てられてしまいます。同様に韓国語のユーザの場合、「生まれた都市は?」という質問の答えが10回で当てられてしまう可能性は39%。「好きな食べ物」だと43%にも上っていました。これは、かなりの高確率で、不正攻撃が成功することを意味します。

一方で、アメリカで英語を使うユーザの40%が、必要なときに秘密の質問の答えを思い出すことができないなど、正答率も低いことが分かりました。さらには、37%のユーザが、答えを推測されにくくするために「あえて嘘の答えを設定している」ということも判明。しかし、これも攻撃を成功しやすくなる要因となっているとのことです。

グーグルは「今回の結果を見ると、ユーザもサイト管理者も改めて考えてみる必要があるでしょう」と指摘。「SMSメッセージや2つ目のメールアドレスを使ってバックアップ コードを送信するなど、他の認証手段を使ってユーザがアカウントを復旧できるようにするのがよいでしょう」と結論づけています。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ