一番好きな食べ物はなんですか? 最初の先生の名前はなんといいましたか? 最初に飼ったペットの名前は? こうした質問をみて「ああ、例のあれね」と思い当たる人が多いことだろう。何かのオンラインサービスに登録するときに、セキュリティ対策のひとつとして定型的な質問と、そしてそれに対する回答を「セキュリティキー」として使うことが多いのだ。ただ、Googleの最近の調査によれば、「秘密の質問」とそれに対する答えは、どうやらセキュリティ目的として有効ではないらしい。
Googleの利用者が、秘密の質問を使ってアカウントの回復をしようとするケースにつき数億件の例につき調査してみたそうだ。調査結果をひとことでまとめれば、「秘密の質問は十分に秘密でもないし、またアカウントリカバリーのための方法としても十分に機能しない」ということのようだ。覚えやすすぎるもので、第三者も簡単に推測できたり、あるいは覚えにくいものは、いざという場面では本人すら忘れているということになりがちだとのこと。望まれる「適度なセキュリティ」を実現する役には立っていない様子。
たとえば、英語国のひとたちが「好きな食べ物」に登録するのは「ピザ」であるケースが多いのだ(Google利用者のうち20%が「ピザ」を指定している)。10回の回答が許されるなら、スペイン語圏の利用者の、父親のミドルネームも21%の確率で正解することができる。また多くの人口が大都市に集中しているような国(たとえば韓国)では、生地を応えるのも簡単なこととなる。
また、回答に嘘の情報を記載する利用者も多い(37%)ようだ。たとえば「電話番号はなんですか」という質問と「マイレージ会員番号はなんですか」という質問の双方に、同じ番号を設定している人もいるらしい。もちろん現実的には、この両者が一致する可能性などあり得ない。
さらに、アメリカの英語利用者のうち40%が、自分の設定した回答を思い出せないでいるようだ。たとえば「マイレージ会員番号はなんですか」という質問に対し、正しく回答する人の率は9%なのだそうだ。
「秘密の質問」が、往々にして簡単すぎるセキュリティ基準となってしまうのであれば、複数の質問をクリアしなければならないようにするというのが考えられる対応策となるだろう。これによりアタックを回避できる確率は確かに上がるはずだ。ただし、正規の利用者が正しい答えを忘れてしまう確率もまた上がってしまうのだ。
Googleは、SMSを介したバックアップコードの利用や、セカンダリーメールアドレスの活用などで、利用者の認証をすべきだろうと結論している。「秘密の質問」方式は、どうしても他の手段を取り得ない場合に使用すべきだとのことだ。
[原文へ]
(翻訳:Maeda, H)