Webサービスの中には、パスワードを忘れてしまった時の復旧手段として、「リマインダー」を用意しているところがある。あらかじめ登録していた「秘密の質問」と「答え」を入力すると、パスワードの再設定などを行える機能だ。このリマインダーを悪用し、パスワードを変更してしまうアカウント乗っ取りが、しばしば起きている。
今月18日、この機能を悪用してパスワードを変え、同級生のメールを盗み見していた福井県内の中学生が書類送検された。昨年12月には、兵庫県内の中学生3人が同様の容疑で書類送検されている。破られにくいパスワードで玄関を守っていても、秘密の質問と答えが安易だと裏口から入られてしまうのだ。
リマインダーは、パスワードを忘れてしまった場合の代替手段として用意されている。登録する質問と答えには、本人確認の手段であるパスワードと同レベルの要件を満たしていなければいけない。本人しか知らないはずの情報であることはもちろん、推測されることのない、複雑で長いものを設定しておく必要がある。ところが実情は、パスワードよりも、はるかに破られやすそうな、安易なものが使われていることが多いようだ。
■上位3項目「ペットの名前」「母親の旧姓」「生まれた町」で8割以上
あるサービスのユーザー約1000人の「秘密の質問」と「答え」を分析したところ、最も多い「秘密の質問」は、「ペットの名前」の32%。続いて「母親の旧姓」の25%、「生まれた町」の23%だった。全体の8割以上がこの3つの質問に集中しており、4位以降はこれらの5分の1以下と極端に少なく、すべて合わせても19%でしかない。これらトップ3の質問の「答え」は、知り合いなら周知のことかもしれないし、聞き出すのも容易いだろう。知り合いではなくても、ブログやプロフィールを探せば、答えが見つかるかもしれない。もしそのユーザーが何の細工もなく正直な答えを登録していたなら、簡単に破られ、パスワードを変更されてしまうかもしれないのだ。
では、約1000人のユーザーが用意していた「答え」は、どういうものだったのだろうか。重複する「答え」は少ないが、平均文字数が約3文字と非常に短い。質問との兼ね合いもあってか、ほとんが単独の名詞や固有名詞という単純なもので、2文字と3文字がそれぞれ32%、続く4文字の19%で、全体の8割を超える。文字種の多い日本語の答えとはいえ、パスワードとはずいぶん違う扱いではないだろうか。「ペットの名前」の「答え」などは、「カタカナ」のみ使用が52%、「ひらがな」のみ使用が40%なので、1文字ずつ変えた総当たり攻撃でも容易に突破されそうな、危険度の高い脆弱な状態といえる。
この調査の対象は、フィッシングにひっかかってしまったユーザーであるため、ユーザー全体の傾向が見えるものではないが、安易なリマインダー設定が行われている実情を垣間見ることができる。実際、先ごろ書類送検された福井県内の中学生の事例では、「ペットの名前」に何度か答えてパスワードを変更したと報道されている。
強固なパスワードを設定し、用心深く運用していても、安易な「秘密の質問」と「答え」は全てを台無しにしてしまう。パスワードを忘れてしまった時のためのものとはいえ、決して忘れにくい単純なものを設定してはいけない。パスワード並みに強固な答えを用意するか、無意味で複雑な文字列を設定し、メモしておくことをお勧めする。
(2013/06/25 ネットセキュリティニュース)