--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2012.12.19 12:05|カテゴリ:Security

「秘密の質問」にまじめに答えを入れる人はパスワードを盗まれやすい


 先日、中学生の男子が好意を持っている女子中学生のメールを覗き、不正アクセス禁止法違反容疑で書類送検されるという事件がありました。

「秘密の質問」解読! 女子中生のメールのぞく 同級生の中3男子書類送検 兵庫県警:MSN産経west
 好意を持った女子中学生(15)のフリーメールのパスワードを不正に取得し、メールをのぞき見たとして、兵庫県警は14日、不正アクセス禁止法違反容疑で、兵庫県内の中学3年の男子生徒(15)ら同級生3人を神戸地検姫路支部に書類送検した。


 この事件で男子中学生は女子中学生が利用しているフリーメールのパスワードを不正に取得しています。

 このパスワード取得に利用したのが、「秘密の質問」機能です。これは、万が一パスワードを忘れてしまった際に、事前に設定しておいた自分だけがわかる「秘密の質問」に回答することで、システム側がパスワードをリセットしたり、教えてくれたりするというものです。

 この「秘密の質問」機能、通常は「第三者にはわからない答え」を設定する必要があるのですが、多くのサイトで最初から回答が類推できそうな質問しか選べないことから、ちょっと利用者のことを知っていれば第三者でも回答できてしまうものが多いんです。

 たとえばこちらは代表的なフリーメールのひとつYahoo!メールにおける「秘密の質問」です。

password-reminder-vulnerability01.jpg

 なんか、いずれもちょっとした会話の中で聞き出せそうなものばかりです。ちょっと今回の事件に合わせて想像してみましょう。
 
 なお、記事では、“県警は、男子生徒らが「秘密の質問」の回答を知った経緯などについて調べている。”とありますので、詳細は不明です。以下はあくまでも私の類推であることをお断りしておきます。
 
 今回の犯人である男子中学生はターゲットである女子中学生に好意を持っていました。つまり、知り合いである可能性が高いです。おそらく、メールアドレスまでは知っていたんだと思われます。
 
 「メールを覗きたい」と考えた男子中学生が欲しいのは彼女が設定したパスワード。でも、そう簡単にわかるものではありません。しかし、彼は「秘密の質問」機能に目をつけます。
 
 そして学校で彼女のそばでさりげなくつぶやきます。

 男子中学生「あー、外国行きてー」
 女子中学生「行ったことないんだ?」
 男子中学生「えー、行ったことあるの?どこに行ったことある?」
 女子中学生「私もハワイしか行ったことないけどね」

 これでもし、女子中学生が「秘密の質問」機能で上記質問のうち、「初めて行った海外の国・地域」を選んでいたら「ハワイ」という答えを登録している可能性が高いと類推できます。
 
 あとは同様に他の質問をつぶしていくだけです。
 
 「子供のころのあだ名」、「初めて買った曲のタイトル」、「初恋の人の名前」、「子どものころの夢」…。全部は聞き出せないかも知れませんが、本人や彼女の周辺の方からある程度聞き出せそうです。

 あとはこれらを試してみるだけ。


 
 いかがでしょう?
 
 結構、簡単に突破できそうです。
 
 この手の「秘密の質問」機能は多くのサイトで利用されています。しかし、これらにまともに答える必要はありません。
 
 「初めて行った海外の国・地域」という質問を選んだとして何も国や地域を書き込む必要はないんです。
 
 私なら以下のようにします。
 
 「V88!c3?5_mu3@=xr'l`5」
 
 上記、文字列には何の意味もありません。使える文字種すべてを組み合わせ20文字で生成した文字列です。
 
 この文字列は何らかの安全な方法で覚えておいてもいいですが、「秘密の質問」機能を使う気がなければ、覚えておく必要すらありません。

 ほとんどのサイトでは、利用者がパスワードをつける際に、簡単に第三者に類推されないような強固なパスワードをつけるように推奨しています。にもかかわらず、「秘密の質問」機能に第三者が類推可能な質問を用意していること自体が矛盾しています。こんなものに、馬鹿正直に答えを設定する必要はまったくないんです。
 
 実際のところ、「秘密の質問」機能はそのシステムを脆弱にするものでしかありません。個人的には、このようなものは撲滅してほしいと考えるのですが、サイト運営者にしてみると負荷軽減のために設置せざるを得ないというのが実情のようです。
 
 これは、会員制のサイトを運営したことがある方や会社などでサーバの管理などをしたことがある方ならおわかりかと思うのですが、利用者からの「パスワード忘れた」という問い合わせが必ずといって言いほどあります。しかも、管理している人数が多いと、その問合せの数も多くなり、ひどいケースでは業務に支障すら生じます。
 
 半ば必要悪的なものなのですが、回答が第三者に類推されやすい「秘密の質問」は論外です。せめて、質問を自由に設定できるといいのですが…。
 
 いずれにせよ、この手の「秘密の質問」機能を設定する際は簡単に第三者に類推されるような答えを登録しないようにしましょうね。

 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。