オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

情報セキュリティ標語の「お」:思い出す、秘密の質問、バレてない?

»

そろそろGWに入りますが、この長期休暇中のセキュリティトラブルって意外と多いのです。お約束のように、ウィルス対策などがメインになりますが、使われない間が長い分だけ、問題に気がつくのも遅くなりがちです。また休暇明けが特に重要!コンピュータの電源を入れる前に「大丈夫か?」と確認してから、一呼吸置いてから動かしたいものです。

前回の情報セキュリティ標語、「え」:英語だと、ごまかしながら、見ないふりから一ヶ月半近く、間があいてしまいました。

今回は続きの、「お」:思い出す、秘密の質問、バレてない?

Webのサービスなどで、IDやパスワードを忘れた時に使われる「秘密の質問」です。以前に、パスワードリマインダーで戸惑う「ひみちゅ」でも書きましたが、結構簡単にわかってしまうものなのです。

以前に論文を書くために、身近な人で実験したことがあったのですが、70%くらいの確率で答えがわかりました。これ、もっと難しくしたり、システム的にも質問項目を増やさないと。。。マズイですねぇ。

 

とある事例:

1.Webメールの場合

セキュリティの問題もあるので詳しくは書きませんが、この例ではシステム的な問題がありました。バグでも何でもないのですが、答えの入力までの壁が低いのです。簡単に質問を知ることが出来ました。

ここが、セキュリティのトレードオフな関係です。簡単に使える=セキュリティ強度が落ちる。

ここを難しくすると、問い合わせ等の件数も増えるのでしょう。きっと。

であれば、出来ることは、質問の答えを自分しか知らない難しい答えにすること。これだけしか出来ないですね。それ以外は、このメールを使わないこと。

・・・これ、最初から用意されている、用意されていた(数年前に登録した)ものなどの、質問が簡単すぎるので、答えも簡単に知ることが出来るのです。ペットの名前、思い出の先生、旧姓などなど・・・身近な人であれば、ほとんど知っていてもおかしくないですし、ソーシャルエンジニアリングなどの手法で聞き出すにも。。。簡単ですね。

知り合いでも、見知らぬ人でも、いきなり「ペットの名前」を聞くことはないでしょう。そんなバカなことをすれば、警戒されるだけです。

動物の話を自然にはじめることは簡単でしょうし、種類や性別、性格など・・・いくらでも聞けそうです。それも警戒されずにですね。

自分がターゲットになる前に、自分がターゲットを狙うとしたら、どういう方法でするか? ここにセキュリティの答えがあるのです。攻撃が最大の防御です。もちろん、これを実行して何らかの方法でIDやパスワードを入手し、それらを使うことは犯罪です。

IDやパスワードは、家のドアの鍵を同じです。玄関のドアにキーボードがあったとして、そんなに簡単に推測できそうな「文字列」を使うでしょうか? 例えこの「文字列」が難しかったとしても。。。秘密の質問が簡単だったら・・・早速、変更しましょう!

 

2.Webのオンラインサービスの場合

メールとほとんど変わらない部分も多いのですが、メールよりも強度のバラツキが多くありました。

とあるオンラインバンキングでは、どんなタイミングか知りませんが、事前に設定した数個の質問が突然出てくるのです。銀行の窓口などでは、本人確認の1つとして「干支」を聞いたりしてますね。これらも事前に調べておくことは可能ですが、突然と脈絡もなく質問された場合の「リアクション」の僅かな間があやしさのポイントになります。

で。。。同一のものを使うのは、忘れる心配もないので良いのですが、Webサービス自体の管理のバラツキもありますし、漏洩事件などでも漏れる情報なので、パスワード管理ソフトなどを使うしか方法はないでしょう。

 

3.秘密の質問や設定変更で送られてくるメールアドレスが存在しない

これ、最悪のケースですね。そもそも何のメールアドレスを使って登録していたのかわからない、忘れてしまった。。。1のメールがあるだろう!って、そのメールにログイン出来ないから、質問に答えるのに。。。タマゴとニワトリの世界に入っていきます。

 

秘密の質問、侮ってはいけません! 早速、気になるものは変更しておきましょう。

Comment(0)