1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. IPAが「秘密の質問」の利用上の注意点を呼びかけ

IPAが「秘密の質問」の利用上の注意点を呼びかけ

IPAが「秘密の質問」の利用上の注意点を呼びかけ7月1日、独立行政法人 情報処理推進機構(IPA)は、「2015年7月の呼びかけ」を公開し、「秘密の質問」を利用する際の注意点を呼びかけた。

秘密の質問は、インターネットの各種サービスにおいて、パスワードを忘れたとき(パスワードリマインダー)や、ネットバンキングなどの本人確認の際に用いられる機能で、「質問」とそれに対応する本人しか知らない「答え」を設定するものだ。

しかし、秘密の質問の答えが第三者から推測されることにより、アカウントを乗っ取られる事例が報じられており、また、「秘密の質問は、それ単体でアカウント復旧の仕組みとして使用するには、安全性も信頼性も十分ではない」との研究結果もある。

このため、IPAでは、ユーザーが「秘密の質問」を利用する上で推奨される対策を挙げている。

「秘密の質問」は、サービス事業者が用意する「質問」のなかからユーザーが選択するのが一般的だ。例えば、「あなたの母親の旧姓は?」などの質問を選んで、それに対応する「答え」を設定する。

この場合、「あなたの母親の旧姓は?」という「質問」には、姓が設定されていると第三者が推測することが可能になる。そこで、「秘密の質問」の「答え」は、第三者から推測されにくい内容にする必要があるという。

そこでIPAは、以下の内容を確認するようユーザーに呼びかけている。

(1)利用しているサービスにおいて「秘密の質問」の設定の有無を確認する
(2)次に、「秘密の質問」以外に、ワンタイムパスワードによる二段階認証など、複数の本人確認方法を提供しているかを確認する
(3)複数ある場合は、「秘密の質問」以外の方法に変更するか、または併用を検討する

その上で、「答え」を第三者に推測されにくい内容へ変更する対策を推奨している。しかし、複雑すぎると本人が思い出せなくなる可能性があるため、以下のような設定方法を提案している。

(1)「答え」+「共通フレーズ」のように、第三者に推測されにくい文字列を追加する
(2)さらに、異なるサービスで同じ「答え」にならないよう、「サービス名の一部」を文字列に加える

また、サービス事業者に対しては、ユーザーが「秘密の質問」を安全に利用できるように、ワンタイムパスワードによる二段階認証など、複数の本人確認方法を用意し、ユーザーが選択や変更、あるいは併用できるように呼びかけている。また、「秘密の質問」による本人確認のセキュリティレベルを高めるために、以下のような対策を検討するよう求めている。

<「質問」の内容から第三者に「答え」を特定されないための対策>
(1)利用者が設定した「質問」はいつでも変更できるようにする
(2)利用者が「質問」を自由に記述できるようにする
(3)万が一の漏えいに備えて設定された「質問」は暗号化して管理する

<「答え」を第三者に推測されないための対策>
(1)利用者が設定した「答え」はいつでも変更できるようにする
(2)利用者が「答え」で設定できる文字数や文字種を可能な限り増やす
(3)万が一の漏えいに備えて設定された「答え」はソルト付きハッシュ値として管理する

2015年7月の呼びかけ(IPA)

関連キーワード:

IPA

ワンタイムパスワード

二段階認証

秘密の質問

  • 2015年6月のIT総括
  • カテゴリートップへ
  • 金融機関をかたるフィッシングの件数は減少傾向にあるものの、7月も引き続き注意が必要