「あなたの母親の旧姓は?」「あなたが最初に飼ったペットの名前は?」――。パスワードを忘れた場合に再設定できるようにするため、こうした「秘密の質問」を入力させるサービスは少なくない。だが、2017年6月に改定された米国標準技術研究所(NIST)が発行するガイドライン「SP800-63」では、秘密の質問をほぼ全面否定する記述に変わった。

 追加された文言は以下の内容だ。

 記憶シークレットを選択する際、検証者(Webサイト側)は利用者に対して、特別なタイプの情報(例えば「最初に飼ったペットの名前は何ですか?」など)の入力を求めてはいけない。

 記憶シークレットとは、利用者だけが知っている情報のこと。パスワードの再設定用に秘密の質問を設定するのは、パスワードとは別の記憶シークレットを選択するという意味だ。これに秘密の質問を利用してはいけないとされた。非推奨の度合いは「SHALL NOT」。最も強い否定の「絶対にしてはいけない」というニュアンスだ。

[画像のクリックで拡大表示]

 さらに、「秘密の質問*1は『通常は極めて弱い特殊なパスワードである』とみなし、パスワードと並列する認証要素から削除した、とSP800-63の変更履歴にわざわざ書かれた」(NRIセキュアテクノロジーズの大島修ソリューションビジネス一部上級セキュリティエンジニア)。秘密の質問は認証の役に立たない、という烙印を押されたのだ。

*1 SP800-63では「Pre-registered Knowledge Token」(事前登録した知識トークン)と呼称

「自分しか知り得ない情報」ではない

 秘密の質問は以前からセキュリティ専門家の間で評判が悪かった。「母親の旧姓やペットの名前は自分しか知り得ない情報ではない。知り合いに話していたりSNSで書いていたりする。過去には、秘密の質問を破られてパスワードを再設定され、Webメールが盗み見られた事件があった」(EGセキュアソリューションズの徳丸浩代表取締役)。

 この事件は加害者、被害者ともに中学生で同級生だった。自分の悪口を言われていると疑った加害者が、被害者のWebメールのパスワード再設定機能を悪用した。被害者はペットの名前を秘密の質問に設定しており、加害者が数回試したところパスワードを再設定できてしまった。

 「秘密の質問がパスワード再設定のような大きな権限を持つのは問題が多い」。EGセキュアソリューションズの徳丸代表取締役はこう指摘する。

 秘密の質問や生年月日を入力するだけでパスワードを再設定できる、秘密の質問の入力だけでパスワードそのものがメールで送られくる――。こうしたWebサイトはセキュリティ上の問題を抱えている。「秘密の質問を使わないで済むなら、使わない方がいい」(情報処理推進機構(IPA)の加賀谷伸一郎セキュリティセンター調査役)。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。