■■【時代の読み方】 サイト登録の「秘密の質問」から情報が漏れてしまう 2015/07/25
時代の流れを時系列的に見ると、見えないものが見えてきます。NHKの放送や新聞・雑誌などを見て、お節介心から紹介しています。
■ サイト登録の「秘密の質問」から情報が漏れてしまう
ネット利用では、個人情報の登録を求められることが多いと思います。その時に、パスワードを忘れたときに、本人確認として「秘密の質問」の登録が同時に求めらることがあります。万一、忘れたときには非常に便利です。
便利性のウラには危険性のリスクが伴います。IPAでは、答が悪いと、類推されてしまい、その結果、パスワードを盗まれてしまう可能性があると警告しています。
◇1 「秘密の質問」とは
あなたが登録するときに、「秘密の質問」として、下記のようなメッセージを見たことがあると思います。
「あなたの好きな果物は?」
「あなたのお母さんの旧姓は?」
「あなたのペットの名前は?
すなわち、「秘密の質問」とは、「質問」とそれに対応する本人しか知らない、予め登録しておいた「答え」を設定する方法で、パスワードリマインダやインターネットバンキングでの本人を確認するための機能です。
第三者に「秘密の質問」の「答え」を推測されてしまうと、パスワードを知られる」ことになってしまいます。その結果、不正にサービスを利用されるなどの被害に繋がる恐れがあるのです。
◇2 対策のヒント
「質問」によっては、第三者でも「答え」を推測できてしまうということは、第三者が類推できない答を準備しておけば良いのです。
IPAでは、次のようなアドバイスをしています。
例えば「あなたの母親の旧姓は?」という「質問」の場合、「答え」には姓が設定されていると推測することができます。このため、悪意ある第三者が「佐藤」や「鈴木」などのよくある姓で入力を繰り返すと、「答え」を当ててしまう可能性があります。
また、「あなたのペットの名前は?」という「質問」の場合も、ペットの名前ランキングを調べたり、本人のSNSでペットの名前が公開されていないかを調べるなどの方法で「答え」を推測することも考えられます。
前述のように「秘密の質問」への「答え」の入力だけで本人確認ができてしまうと、パスワードを不正に入手される可能性もあるため、「秘密の質問」の「答え」はパスワードと同じように第三者に推測されにくい内容にする必要があります。
では、どの様な対策が効果的でしょうか、IPAの推奨する対策をご紹介しておきましょう。
◇3 対策は容易
第三者が類推できない答の仕方として、IPAでは、次のようなアドバイスをしています。
まず、利用しているサービスにおいて「秘密の質問」の設定の有無を確認し、できればワンタイムパスワードによる二段階認証などによる、複数の本人確認方法を提供しているかを確認して、複数の方法を利用しましょう。
さらに「答え」は第三者に推測されにくい内容への変更も検討してください。しかし、「答え」を複雑な内容にすると、本人が思い出せなくなる可能性が懸念されます。
そこで、IPAでは「本来の答え」に自分しか知らない「共通フレーズ」を追加することを推奨しています。
[質問に対する本来の答え]+[共通フレーズ]
例えば「あなたの好きは果物は?」という設問の場合に、あまり馴染みのない、例えば「パッションフルーツ」を[質問に対する本来の答え]とします。
[共通フレーズ]として「カモしれない」を使うようにし、さらにサービスの名前の一部、例えば「アイピイエイ」というサービスを利用する場合には、カモしれない アイピイエイ」としておきます。
すなわち答としては「パッションフルーツ カモしれない アイピイエイ」となります。
もちろん、これで万全であるわけではないことを留意しておく必要があると思います。
上記以前の最近の記事 ←クリック
【今月の経営コンサルタントの独善解説】 ←クリック
