パスワードを忘れた? アカウント作成
12261868 story
セキュリティ

ask.fmを使った「秘密の質問」に対するソーシャルエンジニアリング攻撃 28

ストーリー by hylom
秘密の質問には適当に答えよう 部門より

個人に対するインタビューを行えるサイト「ask.fm」で、Webサービスのパスワードを忘れた際にリセットや変更を行うために使われるいわゆる「秘密の質問」が投げかけられているという話が出ている(ITmediaTogetterまとめ)。

具体的には「初めて観た映画のタイトルは?」「初めて飛行機で行った場所は?」「初めて遊びに行った海の名前は?」「十代の頃の親友の名前は?」などで、これらはApple IDのパスワードを忘れた際に聞かれる「秘密の質問」だそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年07月09日 16時39分 (#2844893)

    ここのところ秘密の質問の脆弱性(?)が話題になっているというのに、
    某オンラインバンキングにログインしたら、新たに秘密の質問と答えを3つ設定せよ[必須]と出ましたよ。ask.fmで訊かれなくても、TwitterやFacebook眺めてれば答えられそうな質問ばかり・・・

    どうせ残高0なので、ウソ回答考えるのが面倒で正直に答えちゃいましたが。

    • 多くのWebサービスでは、「秘密の質問」はパスワードを忘れたときの為のもので、

      • 「ID(メールアドレス)」 + 「秘密の質問の答え」
      • 「ID(メールアドレス)」 + 「秘密の質問の答え」 + 「生年月日」
      • 「ID(メールアドレス)」 + 「秘密の質問の答え」 + 「郵便番号」
      • 「ID(メールアドレス)」 + 「秘密の質問の答え」 + 「生年月日」 + 「郵便番号」

      といった組み合わせを入力できれば、パスワードの再設定が可能(アカウントを乗っ取れる)仕組みになっています。そういったところでは推測できない文字列にする [ipa.go.jp]必要があると思います。

      しかし、銀行では、そんな間抜けなところは皆無で、「秘密の答え」でパスワードリセットできるところは皆無なはずです。ふつうはログイン時の追加認証 [mizuhobank.co.jp]に使われます。普段は、「お客さま番号」 + 「ログインパスワード」でログインできますが、パソコン(Cookie)やIPアドレス(リモートホスト名)などが普段と異なっていたり、同じIPアドレスから多数のログイン試行があった場合などで、追加で回答が要求されるものです。

      ネットバンキングでは、IDの強度が弱い(お客様番号が8桁の数字だったり、銀行によっては口座番号だったり)ところが多いので、脆弱なパスワードを辞書攻撃などで破られにくくするなどが主目的で「秘密の質問」を使っているのだと思います。ソーシャルエンジニアリングでその答えを知ったところで、対応するIDとパスワードが分からなければ何もできないので、「秘密の質問」への答えを正直に登録しても何の問題もないでしょう。辞書攻撃・ブルートフォースアタック対策として、Google や Yahoo! では同じIPアドレスから何度かログインに失敗すると CAPCHA(画像認証)が求められますが、最近はプログラムによるCAPCHAの解析も可能となっているしユーザビリティも最悪なので、CAPCHA ではなく「秘密の答え」を使うオンラインバンキングは素晴らしいシステムであると思います。

      また、銀行の「秘密の質問」での追加認証は、IDとパスワードをセットで、メモしたりパソコンにテキストファイルで保存したりする人への対策も兼ねていると思います。従って、銀行などの「追加認証」が目的の「秘密の答え」を、ランダムな英数字にして同様に控えておくのはかえってセキュリティレベルを下げることになります。そういった意味でも、オンラインバンキングの秘密の質問には正直に答える(メモ・記録する必要がない)のが望ましいでしょう。

      親コメント
  • by Anonymous Coward on 2015年07月09日 15時24分 (#2844846)

    好きな人は?「おばあちゃん」
    待ち受け画面は?「おばあちゃん」
    初恋の人は?「おばあちゃん」
    人生で一番尊敬する人は?「おばあちゃん」
    1日他人に変身できるとしたらなりたいのは?「おばあちゃん」

    • by Anonymous Coward on 2015年07月09日 17時07分 (#2844913)

      どこの女の子だろうとググったら、海軍大将ですか。。。

      親コメント
      • by Anonymous Coward

        おおう、「井上成美 レーカン」でググってみてくれ。

        • by acountname (43053) on 2015年07月10日 13時47分 (#2845383) 日記

          海軍大将 → 海軍と言えば戦艦や空母 → 「井上成美 レーガン」 → 元アメリカ大統領?

          (このあとgoogleセンセに聞いたら、ちゃんとレーカン!で検索してくれました)

          親コメント
        • by Anonymous Coward

          ああ、あの井上さんか。
          原作漫画しか見てないので、たいてい「井上」としか
          呼ばれてないから、名前まで気づかんかった。

    • by Anonymous Coward

      >1日他人に変身できるとしたらなりたいのは?「おばあちゃん」

      身内じゃないのか

  • by Anonymous Coward on 2015年07月09日 15時08分 (#2844832)

    こういったものはask.fm の側でフィルタアウトすれば良いのではないか。
    ある程度の言語の揺れは正規表現などで調整できるだろう。

  • by Anonymous Coward on 2015年07月09日 15時11分 (#2844836)

    「母親の旧姓は?」という質問には日本のお国柄が表れてると常々思っていましたが
    Apple IDの秘密の質問ってアメリカ的なんでしょうかね?

    「初めて観た映画のタイトルは?」→憶えてない
    「初めて飛行機で行った場所は?」→憶えてない
    「初めて遊びに行った海の名前は?」→憶えてない
    「十代の頃の親友の名前は?」→小中高大それぞれ違うから選びにくい(答えにくい)

  • by Anonymous Coward on 2015年07月09日 15時45分 (#2844859)

    いまだかつて真面目に答えたことないんだけど。
    適当に「くぁwせdrftgyふじこlp」みたいな感じで。ぐちゃぐちゃに登録してるわ。
    いざ必要になったときは詰むだろうけど、幸い一度も必要になったことはない。

    • by Anonymous Coward

      然り。
      第二のパスワードと考えて
      オフラインで書きとめておくべし。

    • by Anonymous Coward

      俺は、ひみつの質問の答えをpythonのhashlib(アルゴリズム名は一応伏せておこうw)でハッシュ化したダイジェストを入力してる。
      全部入れるのは面倒なんで「ある程度の文字数」(これも伏せておこうw)だけだけどね。

    • by Anonymous Coward

      正直に答えるのが間違いだというようなものを回答必須にしないでもらいたいね

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...