最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆アップル、Windows用iTunes/QuickTimeの最新版公開(2015/07/01) | メイン | ◆モジラ、深刻な脆弱性を修正した「Firefox 39」公開(2015/07/03) »

2015/07/03

◆危険な「秘密の質問」の付き合い方(2015/07/03)

 IPA(情報処理推進機構)は1日、パスワードリマインダーの本人確認手段に使われている「秘密の質問」に、セキュリティ上の懸念があるとして、注意を呼びかけた。

 パスワードリマインダーは、パスワードを忘れてしまったユーザーが再びログインできるようにするための機能のことで、忘れてしまったパスワードそのものを教えるタイプ、新しいパスワードや一時的なパスワードを発行するタイプ、ユーザーにパスワードを再設定させるタイプと、サービスによって色々な回復方法が提供されている。

 利用時には、第三者の成りすましを防ぐための認証を行うが、この確認手段のひとつに、ユーザーが予め設定しておいた「秘密の質問」とその「答え」を使用する方法があり、パスワードリマインダーの代名詞として使われるほどに広く普及していた。

 本人しか知らない筈の「答え」を知っていれば本人と判定するこの手法は、通常のログインで用いているパスワード認証と同じ仕組みであるため、不正ログインの入口を無駄に増やしてしまう。「答え」がパスワードと同レベルの強固なものならまだ良いのだが、実際には、パスワードよりもはるかに簡単に破られてしまう安易な「答え」が設定されていることが多く、今年5月にグーグルが公開した研究報告でも、ユーザーが設定する「秘密の質問」と「答え」のセキュリティレベルは、「パスワード」よりもはるかに低いと報告されている。

■「秘密の質問」は無効に

 「秘密の質問」の危険性は、十年以上前から繰り返し指摘されており、本通信でも2013年の記事やトピックスでこの問題を扱っている。もしお使いのサービスのパスワードリマインダーが、「秘密の質問」に「答え」るだけで機能してしまうような場合には、別の手段が利用できないか確認しよう。SMSやメールなどを使う別の認証手段が利用できる場合には、そちらに切り替え、安全性に問題のある「秘密の質問」は、機能しない様に無効化する。

 例えばアップルの場合には、「セキュリティ質問」と呼ぶ「秘密の質問」機能が、パスワードの回復手段のひとつとして提供されている。この「セキュリティ質問」は、同社が「2ステップ確認」と呼んでいる2段階認証の機能を設定すると無効になる。

 2段階認証は、パスワードだけではログインできないようにする追加のセキュリティ機能のこと。アップルの場合は、これを設定すると「パスワード」「特定の端末に送られて来る確認コード(暗証番号)」「復旧キー」のうちのどれか2つを使用しないとログインできなくなる。通常は、パスワードと確認コードを使用してログインするが(2回目以降の確認コードは省略可)、万一パスワードを忘れてしまった場合には、残りの復旧キーと確認コードによる2段階認証でパスワードを再設定できる。ちなみに初回の設定時は、確認コードをSMSで受け取ることのできる環境が必要だが、設定後は、iOS端末の通知機能でも受信でき、端末の紛失時に備えて複数のiOS端末やSMS用の電話番号を登録しておくことも可能だ。このほかに、事前に登録しておいたメールアドレス宛てに、パスワードを再設定するためのリンクを送ってもらう手段も用意されている。

■大手サービスは「秘密の質問」を廃止

 今月の呼びかけの中では、「秘密の質問」だけで本人確認が完了しないように用意する他の確認方法として、先の2段階認証を引き合いに出している。しかし、2段階認証が利用できるのであれば、もはや危険な「秘密の質問」を残す必要などない。アップルが2段階認証の設定と引き換えに「秘密の質問」を無効化するのも、そういう理由からだ。研究報告を出したグーグルをはじめ、マイクロソフトやFacebookなど、かつて「秘密の質問」を採用していた大手サービスも同様の考えで、現在はSMSやメール、音声通話、スマートフォンアプリなどの別の手段による認証に移行し、危険な「秘密の質問」は廃止した。

 注意しなければいけないのは、「秘密の質問」を設定することはできないが、設定済みの方が引き続きアカウントの回復手段として利用できるようになっている場合がある。この機会に昔から使用しているアカウントを点検し、「秘密の質問」が設定されていたら、より安全な別の手段へと変更。「秘密の質問」が残っていたら、削除や無効化して危険を取り除こう。

■止むをえない場合はパスワードなみの強固な「答え」を

 他の手段に変更できないなどの理由で、止むを得ず「秘密の質問」を使い続けなければならない場合には、パスワードと同レベルの強固な「答え」、すなわち第三者に推測されることのない、複雑で長い「答え」を設定しておく。

 IPAの呼びかけでは、「答え」を複雑な内容にすると本人が思い出せなくなる可能性があることを懸念し、本来の「答え」を複雑化する方法を紹介している。興味のある方は、末尾のリンク先を参照していただきたいが、記憶に頼るのを止めるという選択肢も検討していただきたい。紙のメモやメモも保存できるパスワード管理ツールなどを使って「答え」を記録しておけば、自分でも回答できない超難解な「答え」を用意できる。

(2015/07/03 ネットセキュリティニュース)

【関連URL】
・2015年7月の呼びかけ「その秘密の質問の答えは第三者に推測されてしまうかもしれません」(IPA)
http://www.ipa.go.jp/security/txt/2015/07outline.html
・New Research: Some Tough Questions for ‘Security Questions’[英文](グーグル)
http://googleonlinesecurity.blogspot.jp/2015/05/new-research-some-tough-questions-for.html
・Sccount Recovery: Lessons from the Use of Personal Knowledge Questions at Google [英文](グーグル)
http://research.google.com/pubs/pub43783.html

投稿情報: 14:13 |

|