Fortune.comに掲載された記事「How a hacker used genealogy websites to help better guess victims' password reset answers」(パスワードの再設定の回答を推測するためにハッカーが家系図Webサイトを悪用する方法)は、パスワード再設定の質問に実際の情報を使用してはいけないことを伝える良い機会となりました。
これはクイズ番組の回答ではありません!質問に対して正確に答える必要はありません。実際の情報を入力することは、リスクを高めることにつながります。代わりに、パスワード再設定の質問には、適当な回答を入力してください。そのため、残念ながら、セキュリティの質問と回答の両方を紙に書き留めるか、安全なパスワードマネージャーに記録する必要があります。
背景
これまでは、パスワードを忘れたり再設定が必要になったりした時のセキュリティの質問は、「お母さんの旧姓は?」や「好きな車は?」、または「3年生の時のお気に入りの先生は?」といったごく一般的な質問が設定されていました。
これは考え直した方がいいでしょう。インターネットの検索能力によって、「高校のマスコットは?」といった経歴に関する質問は、非常に簡単に検索できるようになりました。ほとんどの質問に対する答えは、基本的な検索やフィッシングで偽のアンケートに回答させるかのどちらかで見つけることができます。
ハッカーと呼ぶのはためらいますが、被害者のパスワードを再設定しアカウントを乗っ取ることを専門としている人たちは常に存在します。最も有名なアカウント乗っ取りは、おそらく2008年に共和党副大統領候補のサラ・ペイリン氏がジョン・マッケイン氏と大統領戦に出馬した際に、メールアカウントがハッキングされ情報が流出した事件です。
「ハッカー」は、Yahoo!メールのパスワード再設定の質問のうち、3つの質問に対して正しい答えを見つけ入力することができました。一つは彼女が好きなスポーツに関する質問でした。ペイリンは、高校時代に女子バスケットボールの州優勝チームに所属していたので、ハッカーは彼女の好きなスポーツが「バスケットボール」と推測できました。もう一つは、彼女の旦那に関連した質問で、ペイリンたちはどこで出会ったかというものでした。答えは高校で、この情報もオンラインにあります。3つ目は、自宅の郵便番号でした。ペイリンは、生まれも育ちもアラスカのワシラで、そこには2つの郵便番号しか存在しないため推測は難しくありません。
結果として、ハッカーはサラ・ペイリンのメールアカウントの乗っ取りに成功し、受信ボックス内のメールを確認し、彼女のアカウントからメールを送信しました。ハッカーにとって不運なことは、すぐに米国大手掲示板サイト(4chan)でスクリーンショットを含めて手柄を自慢したため、身元が特定され、数日以内に逮捕されました。以降、彼は収監されています。彼をハッカーと呼ぶのは不本意ですが、彼は基本的にはGoogleやBingで誰もが毎日行っている「ハッキング」スキルを使って乗っ取りを実行しました。
パスワード再設定の質問(「セキュリティの質問」や「秘密の質問」とも呼ばれる)は、セキュリティを確保する最善策ではありません。オンラインのアカウントではなおさらです。パスワードを推測することは、1万回試してもできないかもしれませんが、好きな車やお気に入りの獣医といった答えなら、20回以内の推測で当てることができます。それも、オンライン上に情報がなく、推測に頼らざるを得ない場合でもです。
「好きな車は?」という質問にはいつも笑ってしまいます。世界にはおよそ100車種がありますが、車種は時間が経ってもそれほど変わりません。好きな車は、おそらくクールで、エキゾチックで、セクシーなものでしょう。多くの人がフォードエスコートやAMCペーサーよりも、ランボルギーニ、シボレーコルベット、フォードマスタング、レクサスを好むと答える可能性がはるかに高いでしょう。ほとんどの人の好きな車は、10回以内の推測で当てることができます。
「お気に入りの獣医は?」なんて質問はジョークでしょう。基本的にやることは、現在の住所を調べ(インターネットでとても簡単に見つかります)、自宅から10マイル以内のすべての獣医を探すだけです。おそらく、10マイル以上離れた獣医へペットを連れていかないでしょうから、自宅から一番近い獣医から調べはじめます。
ほとんどの質問は、ソーシャルエンジニアリングによって調べたり見つけたり、もしくは情報を盗むことが可能です。
実際、Googleが2015年に発行したホワイトペーパー「Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google」によると、パスワード再設定の質問は、非常に簡単に見つけたり推測したりできることが明らかになりました。Googleが公表した統計は次の通りです。
- パスワードリカバリーの質問の中には、20%の確率で一回で回答を当てられるものがある。
- 40%の人は、自身のリカバリー質問の回答を思い出せない。
- 16%の回答は、ソーシャルメディアのプロフィールから見つけることができた。
この調査の結果から、Googleは自社のWebサイトやサービスで秘密の質問の使用を「禁止」しました。Microsoftをはじめとする他の企業もすぐにこれに追随しましたが、悲しいことに、現在でも認証や認証再設定の際に秘密の質問を求めてくるサイトやサービスが存在します。そのような質問や回答の入力を求められるたびに驚かされます。
どのような認証を使用していても、バックアップとして、秘密の質問を使用するのは適切ではなく、リスクが伴います。
サイトやサービス利用で秘密の質問をされた際には、実際の情報を使用しないでください。
お母さんの旧姓は?答え:pizzapizza32(ピザピザ32)
好きな車は?答え:JupiterisrisingMila(木星が昇っているミラ)
ただ、適当な答えを使用するということは、質問と答えの両方を紙に書き留める必要があります。以前はパスワード設定をしたMicrosoft Word文書にまとめていましたが、現在は安全なパスワードマネージャーを使用しています。この方法をお勧めします。
そして今後、秘密の質問をしてくるベンダーがあれば、クレームを入れてください。そのようなベンダーは認証セキュリティを真剣に考えておらず、自分たちが愚かでベンダーとして不適切であるということを示しているにすぎません。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Roger Grimes著 2024年10月3日発信 https://blog.knowbe4.com/dont-put-answers-password-reset-questions