Local blog for Japanese speaking developers
新リサーチ: 「秘密の質問」を問い直す
2015年7月8日水曜日
[この記事は Anti-Abuse Research Lead の Elie Bursztein、Software Engineer の Ilan Caron による Online Security Blog の記事 "
New Research: Some Tough Questions for ‘Security Questions’
" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。]
はじめて飼ったペットの名前は?
好きな食べ物は?
お母さんの旧姓は?
一見ばらばらなこれらの質問に共通していることは何でしょうか。どれも「秘密の質問」でよく見かけるものだということです。ほとんどの人がこのような質問に答えた経験があるのではないでしょうか。多くのオンライン サービスで、パスワードを忘れた場合にアカウントにアクセスできるようにするためや、
不正なログインを防ぐため
のセキュリティ強化策としてこのような質問が使用されています。
「秘密の質問」はかなり広く使われていますが、その安全性や効果についてはあまり研究されてきませんでした。アカウントのセキュリティを強化するための取り組みの 1 つとして、今回私たちは、Google に寄せられた数百万に及ぶパスワードの再設定依頼で使用された膨大な数の秘密の質問と答えを分析しました。またさらに、ハッカーによって質問の答えが当てられてしまう確率の算出にも取り組みました。
その結果をまとめたレポートは、先日の
WWW 2015
で発表しました。結論としては、秘密の質問は、単体でアカウントの復旧用に使用するには、安全でもなければ信頼性も十分ではありません。秘密の質問にはそもそも根本的な欠陥があります。すなわち、質問の答えは、安全か覚えやすいかのどちらかで、安全かつ覚えやすい答えはあまりないということです。
拡大するには画像をクリック
簡単な答えは安全ではない
当然ではありますが、覚えやすい答えはあまり安全ではありません。簡単な答えは、一般によく知られていたり簡単に手に入る情報であったり、特定の文化圏では答えの選択肢が限られていたりするケースが多くあります。たとえば、ある特定の国で一般的な苗字は、ある程度限られています。
実際にわかったことをいくつかご紹介しましょう。
英語を使うユーザーの場合、「好きな食べ物は?」という質問の答えを一度で当てられてしまう可能性は 19.7% です (ちなみにその答えは「ピザ」です)。
アラビア語のユーザーの場合、「はじめての先生の名前は?」という質問の答えを 10 回で当てられてしまう可能性はおよそ 24% です。
スペイン語のユーザーの場合、「お父さんのミドルネームは?」という質問の答えが 10 回で当てられてしまう可能性は 21% です。
韓国語のユーザーの場合、「生まれた都市は?」という質問の答えが 10 回で当てられてしまう可能性が 39% で、好きな食べ物だと 43% にも上ります。
「電話番号は?」や「マイレージ番号は?」というような、本来ならかなり安全だろうと思うような秘密の質問でも、かなり多くのユーザーが同じ答えを設定していることもわかりました。さらに掘り下げてみると、37% のユーザーが、答えを推測されにくくするためにあえて嘘の答えを設定していることがわかりました。ところがこれはかえって逆効果になっています。嘘の答えを選ぼうとすると、同じような答えを選んでしまう人が多く、実際には攻撃者に付け入る隙を与えてしまうのです。
難しい答えは実用的ではない
これはちょっと驚きですが、母親が通った小学校や図書館カードの番号は実は忘れやすいのです。覚えにくい秘密の質問と答えでは、実際には使えないことが少なくありません。リサーチ結果をいくつかご紹介しましょう。
アメリカで英語を使うユーザーの 40% が、必要なときに秘密の質問の答えを思い出すことができませんでした。一方、同じユーザーが、SMS のテキスト メッセージで送られていたパスワード再設定用のコードを入力できた割合は 80% を超え、電子メールでもほぼ 75% でした。
「図書館カードの番号は?」や「マイレージ番号は?」という質問は安全性が高そうですが、実際に思い出せた割合はそれぞれ 22% と 9% に留まりました。
アメリカで英語を使うユーザーでは、「お父さんのミドルネームは?」という簡単な質問の正答率は 76% だったのに対し、もう少し安全性が高そうな質問、「最初の電話番号は?」の正答率は 55% に留まりました。
秘密の質問を増やしたら?
もちろん、質問の数が 2 つあるいはそれ以上に増えれば、1 問だけの場合より正解を当てるのが難しくなります。ところが、質問を増やせばリスクも上がります。アカウントを復旧できないユーザーの数が跳ね上がるでしょう。私たちはさらに分析を続け、これが正しいかどうかを検証しました(Google では実際に「秘密の質問」を複数使用したことはありません)。
データによると、最も簡単な質問と答えは「生まれた都市は?」で、ユーザーが答えを思い出せる確率は 79% を超えました。その次に簡単だったのは「お父さんのミドルネームは?」で、ユーザーが思い出す確率は 74% でした。攻撃者が 10 回繰り返せば、これらの質問の答えを割り出せる確率はそれぞれ 6.9% と 14.6% です。
しかし、ユーザーが両方の質問に回答しなければならないとなると、秘密の質問のセキュリティと利便性のかい離が広がります。攻撃者が 10 回で両方の質問に正しく回答できる可能性は 1% になりますが、同時にユーザーが両方の答えを思い出せる確率も 59% に落ち込みます。秘密の質問の数を増やすことは、ユーザーがアカウントを復旧しにくくなることにつながるため、よい方法とはいえません。
次の質問は「ではどうするか?」
オンライン サービスでの認証やアカウントの復旧には、秘密の質問が長い間大きな役割を果たしてきました。しかし、今回の結果を見ると、ユーザーもサイト管理者も改めて考えてみる必要があるでしょう。
Google ユーザーの皆様には、Google アカウントの復旧用の情報を常に最新の状態にしておくことを強くお勧めします。これは、
アカウント情報
のページで簡単にできることです。Google では長い間、「秘密の質問」を、アカウントの復旧に SMS メッセージもバックアップ用のメールアドレスも使えない場合の最後の手段として使用してきました。そしてこれからも、アカウントの所有者であることを証明する方法として、「秘密の質問」を単独で使用することはありません。
同様にサイト管理者も、SMS メッセージや 2 つ目のメールアドレスを使ってバックアップ コードを送信するなど、ほかの認証手段を使ってユーザーがアカウントを復旧できるようにするのがよいでしょう。どちらも安全性が高く、ユーザーにとっても便利な手段です。
Posted by
Eiji Kitamura - Developer Relations Team
ラベル
.app
1
.dev
1
#11WeeksOfAndroid
13
#11WeeksOfAndroid Android TV
1
#Android11
3
#DevFest16
1
#DevFest17
1
#DevFest18
1
#DevFest19
1
#hack4jp
3
A/B Testing
1
A4A
4
Accelerator
2
Accessibility
1
Actions on Google
16
Activation Atlas
1
Addy Osmani
1
ADK
2
AdMob
31
Ads
60
Ads API
53
Advanced Protection Program
2
AdWords API
11
Agency
1
AI
12
AIY
3
AIY Vision Kit
2
ALPN
1
AMP
108
AMP Cache
9
AMP Camp
2
AMP CSS
1
AMP Extension
1
AMP for Email
4
AMP Optimizer
1
AMP Playground
1
AMP Plugin
1
AMP SSR
1
AMP Story
4
AMP Toolbox
1
amp-bind
1
amp.dev
1
AMPHTML Ads
1
Analytics
9
Andorid
12
Android
371
Android 11
15
Android 11 Compatibility
1
Android 11 final release
1
Android App Bundle
1
Android App Development
5
Android Architecture
1
Android Architecture Components
1
Android Auto
1
Android Design Support Library
1
Android Developer
8
Android Developer Story
4
Android Developers
7
Android Enterprise
5
Android for cars
1
Android Go
1
Android Jetpack
6
Android N
18
Android O
13
Android Open Source Project
1
Android P
7
Android Pay
1
android privacy
1
Android Q
13
android security
1
Android Security Year in Review
1
Android Studio
45
Android Support Library
6
Android Things
15
Android TV
11
Android Vitals
4
Android Wear
29
android11
6
androidmarket
3
androidstudio
1
AndroidX
5
Angular
2
Angular 2
2
AngularJS
2
Anthos
2
AoG
1
aosp
1
API
25
APIExpert
45
apk
2
APM
1
app
3
App Action
1
app engine
23
App Indexing
7
App Invites
6
App Maker
2
AppCompat
2
Apps Script
11
aprilfool
4
AR
2
Architecture Components
7
ARCore
1
ArtTech
1
Associate Android Developer Certificate
1
Audio
7
Auth Code
1
Authentication
8
AuthSub
2
Autofill
2
AutoML
1
Autotrack
2
award
1
Awareness API
1
Beacons
6
BERT
1
Better Ads Standards
3
BigQuery
10
Billing
1
BLE
4
Blink
1
Blockly
1
blogger
1
BodyPix
1
Brillo
1
Brotli
2
Budou
1
Calendar
3
campaign
1
Campus
1
Canvas
1
Cardboard
4
Career
1
Case Study
1
CCPA
1
Certificate
2
chrome
167
Chrome Custom Tab
3
Chrome Dev Summit
3
chrome extension
11
Chrome for Android
2
Chrome for iOS
2
Chrome OS
7
Chrome Tech Talk Night
4
Chromebook
4
Chromecast
7
chromewebstore
9
Chromium
6
CLI
1
ClientLogin
3
Closure Compiler
1
Cloud
21
Cloud AI Platform
1
Cloud Firestore
5
Cloud Functions
9
Cloud IoT Device SDK
1
Cloud Next
9
Cloud OnAir
1
Cloud OnBoard
3
Cloud PubSub
1
Cloud Storage
1
Cloud Study Jams
3
Cloud Summit
1
Cloud Test Lab
2
Cloudflare
1
CNN
1
Coalition for Better Ads
2
CocoaPods
1
code review
1
codejam
5
codelab
5
Codepen
1
Colaboratory
1
Community
4
compatibility
1
Compose
1
compute engine
3
Contests
1
Context
1
controls
1
Conversation API
1
conversations
2
Cookie
8
Coral
2
COVID-19
2
Crash Reporting
2
Crashlytics
2
Custom Element
1
Custom Model
1
dark theme
1
Dart
2
DataCenter
1
Daydream
4
Deep Learning
4
Demo Party
1
Design Sprint
3
DesignBytes
1
Designer
1
DevArt
3
DevBytes
6
Developer
14
Developer Console
4
Developer Preview
6
Developer Relations
2
Developer Review
1
DevFest
9
DevFestX
3
DevOps
1
devtools
4
Dialogflow
1
Differential privacy
1
DirectShare
1
DNS-over-HTTPS
4
Domain
1
Doodle
1
DoubleClick
4
Doze モード
1
drive
2
Dynamic Links
3
EarlGrey
1
Easter Egg
1
ECMAScript 2015
1
Eddystone
4
Edge
1
egypt
1
Encryption
1
English
2
Envoy
1
ES2015
1
ES2016
1
ES6
2
ES7
1
Event
3
Featured
16
FIDO
5
final release
1
Firebase
119
Firebase Admin SDK
6
Firebase Analytics
10
Firebase Auth
4
Firebase Cloud Messaging
10
Firebase Crashlytics
2
Firebase Database
5
Firebase Libraries
1
Firebase Notifications
1
Firebase Performance
3
Firebase Remote Config
6
Flash
1
Flutter
6
Flutter App Development
1
font
3
fraud
1
G Suite
19
game
41
Game Developers Conference 2018
1
Game Developers Conference 2019
1
Gboard
1
GCP
15
GCPUG
1
GDC
1
GDD11JP
56
GDD2010JP
23
GDE
2
GDG
20
GDG Cloud
1
Geo
54
Gingerbread
1
GLIDE
5
Gmail
5
Gmail API
2
Go
1
golang
5
goo.gl
1
Google
7
Google Analytics
3
Google API
1
Google Apps
14
Google Apps Script
4
Google Assistant
10
Google Assistant SDK
2
Google Cast
8
Google Cloud
31
Google Cloud Day
4
Google Cloud INSIDE Digital
2
Google Cloud INSIDE Games & Apps
8
Google Cloud INSIDE Media
1
Google Cloud INSIDE Retail
2
Google Cloud Messaging
11
Google Cloud Platform
16
Google Code-in
1
Google Developer Experts
2
Google Developers Academy
1
Google Developers live
5
Google Developers Summit
2
Google Drive
6
Google Earth
1
Google Fit
2
Google for Games
2
Google for Mobile
2
Google for Startups
3
Google for Work
1
Google I/O
17
Google Impact Challenge
1
Google Maps
62
Google Maps Platform
47
Google ML Summit
1
Google Pay
3
Google Photo
1
Google Play
131
Google Play Console
14
Google Play Game Services
9
Google Play Instant
1
Google Play Services
23
Google Play アプリ署名
1
Google Plus
14
Google Search
7
Google Sheets API
3
Google Sign-In
12
Google Slides API
5
Google Summer of Code
1
Google Tag Manager
1
Google Trust Services
2
Google マップ
4
Google+
2
Googleapps
10
GoogleGames
1
GoogleI/O
28
GoogleLabs
1
GooglePlay
3
GoogleTV
1
Gradle
1
gRPC
2
GTUG
5
GWT
2
hack4jp
2
hackathon
7
Hangouts Chat
2
Hosting
3
HTML5
17
HTML5Rocks
1
HTTP/2
5
HTTPS
14
I/O Extended
4
ID Token
1
Identity
15
Identity Toolkit
1
IGF2010
4
IGF2020
2
Ignite
4
IME
11
Indie Game
7
Indie Games Festival
7
Indie Games Festival 2018
2
Indie Games Festival 2019
12
Indie Games Festival 2020
7
Inevitable ja Night
29
Instagram
1
Instant Apps
6
intern
2
Invites
1
IO19
3
iOS
21
IoT
7
IPv6
1
Issue Tracker
2
IWD
1
Japanese Input
1
JavaScript
10
Jetpack
3
Jetpack Compose
2
K-12
1
Key Transparency
1
Knowledge Graph
1
Kotlin
17
Kubernetes
2
l10n
8
latest
12
LaunchPad
2
lifull
1
Lighthouse
1
LINE
1
Local AI
1
Lollipop
10
Machine Learning
28
Maker Faire Tokyo
1
Marshmallow
10
Material
1
Material Design
30
MDL
1
MDN
1
metrics
1
MIDI
2
mikan
1
Mixed Contents
3
ML
1
ML Kit
12
Mobile
14
Mobile Bootcamp
4
Mobile Sites certification
1
Mobile Vision
4
mod_pagespeed
1
Model Maker
1
monetize
3
Mozc
15
Music
1
NativeDriver
2
NativeScript
1
NBU
1
ndk
3
Nearby
5
News
1
Next Extended
1
Next Tokyo
3
Nexus
2
Nexus S
1
NFC
1
Node.js
3
notifications
1
Noto CJK
1
Now in Android
6
NPAPI
2
NPN
1
oauth
11
OpenAI
1
opencensus
1
OpenGL
4
OpenID
3
OpenID Connect
4
OpenSocial
1
opensource
18
OpenTitan
1
Optimization
1
Page Experience
1
Payment
5
Payment Handler API
1
Payment Request API
1
PDF
1
PEM
33
people
2
People API
3
Performance
14
Performance budget
1
permissions
1
PersonFinder
1
Physical Web
3
Pi
1
Place Picker
1
Platform Stability
1
Play Billing
1
Play Billing Library
2
Play Console
1
Play Store
1
Player Analytics
4
Playtime 2017
1
Policy
4
Polymer
7
privacy
11
Progressive Web Apps
14
project hosting
1
Promise
1
Promo code
1
Protocol Buffers
1
PRPL
1
publicdata
1
Push API
1
Push Notification
5
PWA
3
Python
2
QUIC
1
QWIKLABS
3
RAIL
1
React
1
React Native
2
Realtime Database
9
Recap Live Japan 2019
3
reCaptcha
1
Redux
1
Remote Config
3
Remote Display API
1
Resonance Audio
1
Rewarded Video Ads
2
Runtime Permission
1
Safe Browsing
2
Sample Code
2
Santa Tracker
1
schema.org
1
secur
1
security
65
Service Worker
4
SHA-1
1
sketchup
1
SmartLock for Passwords
4
social
4
Social Good
1
Social Media
1
software development
1
SPDY
3
speak2tweet
1
Spreadsheet
3
SSR
1
startup
7
Storage
2
story
1
streetview
3
Study Jams
9
subscriptions
2
Swift
2
SwiftShader
1
Symantec
1
tapple
1
Task
4
Team Drive
1
techtalk
13
TensorFlow
40
TensorFlow Federated
1
TensorFlow Lite
8
TensorFlow Object Detection API
1
TensorFlow Probability
2
TensorFlow.js
3
test
4
Test Lab
6
TF Certificate
2
TFX
1
TLS
1
ToS
1
trace
1
Transliteration
1
Trusted Web Activity
1
Twitter
1
Udacity
20
Unity
3
UX
5
V8
2
VP9
1
VR
11
Vulkan
2
Watch Face
2
wave
2
Wear OS
3
Weave
1
Web
34
Web Animations
1
Web Components
7
Web Manifest
1
Web Packaging
3
Web Story
2
Web Vitals
4
web.dev
1
WebAssembly
5
WebGL
1
WebM
1
WebMusic
5
WebRTC
1
WebView
1
Women Techmakers Scholars Program
1
WTM
6
Xcode
1
YouTube
17
YouTube API
1
インタビュー
1
コードサンプル
1
プライバシー
1
機械学習
3
言論の自由
1
節電
3
定期購入
1
東日本大震災
9
日本語入力
41
ブログ アーカイブ
2020
9
8
7
6
5
4
3
2
1
2019
12
11
10
9
8
7
6
5
4
3
2
1
2018
12
11
10
9
8
7
6
5
4
3
2
1
2017
12
11
10
9
8
7
6
5
4
3
2
1
2016
12
11
10
9
8
7
6
5
4
3
2
1
2015
12
11
10
9
8
7
6
5
4
3
2
2014
12
11
10
9
8
7
6
5
4
3
2
1
2013
12
11
10
9
8
7
6
5
4
3
2
1
2012
12
11
10
9
8
7
6
5
4
3
2
1
2011
12
11
10
9
8
7
6
5
4
3
2
1
2010
12
11
Feed
Follow @googledevjp
"プロダクトに関するご意見は
プロダクトフォーラム
にお願いします"
