--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2013.06.19 20:07|カテゴリ:Security

「秘密の質問」にまじめに答えてアカウントに不正アクセスされた事件のお話


 昨日、同級生のIDでヤフーサイトにアクセスしメールを盗み見したとして、中学3年生の男子が不正アクセス禁止法違反と私電磁的記録不正作出・同供用の疑いで書類送検されました。

同級生のIDでメール盗み見 福井の中学生を容疑で摘発(福井新聞ONLINE) - Y!ニュース
福井県警生活環境課サイバー犯罪対策室と福井署、越前署の合同捜査班は18日、同級生のIDでヤフーサイトにアクセスしメールを盗み見したとして、不正アクセス禁止法違反と私電磁的記録不正作出・同供用の疑いで、県内の中学3年の男子生徒(14)を書類送検した。

 
 「自分の悪口をメールに書いているのではないか」と考え、同級生のYahooメールに不正アクセスしたということですが、当然Yahooメールはパスワードにより守られています。この中学生は、どうやって不正アクセスしたのでしょう?
 
 記事によると、ヤフーのパスワードを忘れたときに変更できる「救済機能」を利用したとあります。 
 
 この「救済機能」とは「秘密の質問」のことだと思われます。Yahooの会員はあらかじめ自分しか知らない「秘密の質問」と「答え」を登録しておきます。万が一パスワードを忘れたときには、サイト側はその「秘密の質問」を提示、答えが正しければ本人であることが確認できるという仕組みです。

 では、実際の使い方を見て確認してみましょう。まず、ログイン画面下部に「ID、パスワードを忘れた」をクリックし、「パスワードを忘れた」を選びます。





 ここで、Yahoo IDが必要となります。Yahoo IDについては記事に記載がありませんが、YahooメールではデフォルトでIDがメールアドレスの@より前になるので、おそらくメールアドレスから特定したのでしょう。Yahoo IDと文字認証を入れると3種類のパスワード再設定方法のひとつを選択する画面が表示されますので、「生年月日と秘密の質問を使う」を選びます。





 同級生ということで、生年月日はわかっていたのでしょう。後は、「秘密の質問」に応えるだけです。今回のケースでは「秘密の質問」に「ペットの名前」が使われていたようです。

 


男子生徒は、パスワードを再設定しようと「秘密の質問」のペットの名前に何度か答え、合致しパスワードを変更した。
同級生のIDでメール盗み見 福井の中学生を容疑で摘発 (福井新聞ONLINE) - Yahoo!ニュース



 「何度か答え」とあるので、知っていたわけではなかったようですが、ある程度類推が可能だったのでしょう。最終的に「答え」を入力し、パスワードの再設定に成功しています。


 種類にもよりますが、「秘密の質問」の「答え」はパスワードに比べると類推が容易です。特に相手のことを知っていればいるほど、答えを類推しやすくなります。


 一応、Yahooでは「秘密の質問」とは本人しか知らない「質問」と「答え」を組み合わせた言葉としてはいます。


「秘密の質問と答え」とは、Yahoo! JAPAN IDの登録情報として設定する、あなたしか知らない「質問」と「答え」を組み合わせた言葉です。
Yahoo! JAPAN IDに関するヘルプ?-?「秘密の質問と答え」を設定するには



 しかし、以下のようにあらかじめ用意された選択肢から選ぶことができるため、それをそのまま選んで設定してしまっているユーザが少なくないと思われます。

password-reminder-vulnerability01.jpg


 上記「質問」を見てもらえばわかりますが、このうち「答え」を本人しか知らないものってどれくらいあるでしょう?
 
 仮に攻撃者が知らなかったとしても、今回のように類推することで的中させたり、ソーシャルエンジニアリングにより聞き出したりすることもできます。


 このように「秘密の質問」はせっかくパスワードで守っているシステムを脆弱にしてしまうリスクがあります。本来ならこのような仕組みを設けない方がよりシステムとしては堅牢なのですが、「パスワードを忘れた」という問い合わせは結構多く、仮にそれに対して窓口を設けるとなると運営サイドの負担が大きくなります。そのため、多くのシステムではあまり運営サイドの負担が大きくない「秘密の質問」のような仕組みを設けているのです。


 今回のような被害に合いたくないのであれば、「秘密の質問」は設定しない方がよいでしょう。しかし、「秘密の質問」が必須となっているシステムも少なくありません。そのような場合はどうすればいいのでしょうか?


 私の場合はですが、「質問」の内容を無視し、まったく関係のない「答え」を登録しています。といっても、意味のある単語だと類推されたり、偶然一致する可能性があるので、十分な長さで使える文字種すべてを組み合わせたランダムな文字列を登録するようにしています。 
 
 私はこの文字列を一応安全な方法で記録していますが、実際には記録しておく必要はありません。要するに、他人はもちろん自分ですらわからないような「答え」にしておくことで、バックドア(裏口)になりかねない「秘密の質問」を無効化しているのです。
 
 この方法は「秘密の質問」を使わないことが前提ですので、誰にでもおすすめできる方法ではありませんが、今回のような「秘密の質問」を悪用した不正アクセスを防ぐことが可能です。

 「そこまで神経質にならなくても……」と思われるかもしれませんが、今回の事件では「秘密の質問」にまじめに答えを設定してしまったことで、他人にアカウントを乗っ取られてしまいました。
 
 同じ目にあいたくないという方は、今回ご紹介の方法など参考にしてみてはいかがでしょうか?
 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。