「秘密の質問」は、実は狙われやすい!? Google研究結果でわかった“特に危ない質問”とは

イメージ画像

　久しぶりに利用するウェブサービスだと、パスワードを忘れているかもしれない。そこで「パスワードを忘れた人はこちら」のリンクをクリックすると、「秘密の質問」が表示されることがある。アカウント作成時に設定したプライバシーにまつわる質問を表示し、正確に答えられたら本人確認ができたと判断し、パスワードをリセットできるようにするものだ。

　Googleでもかつては「秘密の質問」を使い、アカウントを復旧できるようにしていたが、2012年から段階的に廃止した。そしてGoogleは昨年、「秘密の質問」に関する研究結果を発表した。

　実は、この「秘密の質問」はセキュリティとしてはリスクが大きい。パスワードがわからなくても、その人のメールアドレスと「秘密の質問」の回答がわかれば、誰でも不正アクセスできてしまうからだ。「好きな食べ物は？」や「お母さんの旧姓は？」といった項目を登録したことがある人は多いだろう。SNSや各種のコミュニケーションツールに登録していると、母親の旧姓がバレる可能性が出てくる。英語圏のユーザーでは「好きな食べ物は？」の回答を一発で見破られる可能性は19.7％と高い。もちろん回答は「ピザ」だ。韓国であれば、10回チャレンジすれば、好きな食べ物を当てられる可能性は43.2％にもなる。

「生まれた都市は？」という質問は、英語圏では10回チャレンジで成功率は6.9％と低いが、韓国なら39％と跳ね上がる。電話番号やマイレージ番号を聞く質問だと可能性は低くなるが、逆にこれらの答えとして本当の番号を設定せず、ウソの番号を登録している人が37％もいる。そして、そのウソの番号は実は推測されやすく、突破されてしまう可能性が高くなるのだ。

　では、難しい質問にするとどうだろう。「生まれた都市は？」という質問では80.1％の人が認証に成功している。しかし、「最初に持った電話番号は？」では55.2％、「図書館の貸出カード番号は？」では22.5％しか成功しない。つまり、不正アクセスも防げるが、アカウントを復旧できなくなってしまう人も増えるのだ。

　もし「秘密の質問」を登録しているウェブサービスがあるなら、チェックすることをお勧めする。可能であれば、「秘密の質問」は削除してしまおう。携帯電話番号やSMS、メールアドレスで認証する方法を選んだほうがいい。「秘密の質問」が必須の場合は、絶対に推測されない回答にしよう。好きな食べ物なら今までで一番まずかったものとか、母親の旧姓なら初恋の人の名字とか、SNSで公開していない情報にしておくといいだろう。
（文＝柳谷智宣）

http://www.cyzo.com/2016/02/post_26630_entry.html