昨年の12月の話題ですが、中学生が「秘密の質問」を利用して、ソーシャルクラッキングしたという事件が起こりました。
「秘密の質問」解読! 女子中生のメールのぞく 同級生の中3男子書類送検 兵庫県警
秘密の質問経由で不正アクセスした中学生 3 人、書類送検される
「秘密の質問」の仕組みは、パスワード認証に穴を開けるという事
「秘密の質問」は、パスワードを忘れた時、「秘密の質問」に答えたら、指定されたメールアドレスにパスワードを送信するという仕組みです。この仕組みはつまり、パスワード認証に穴を開けて、パスワードを忘れた時の対策を作っているのです。
そして、その穴を利用して今回の事件は起こりました。
誰にでも起こりえます
恐ろしい事に、今回の事件は誰の身にでも起こりえます。今回は同級生が犯人だったとの事で、被害者の身近な情報を手に入れやすかった事もあるとおもいますが、まったく他人が「秘密の質問」をクラックできてしまいます。
そのポイントはソーシャルネットワークサービスです。
特にfacebookなどは、自分の居住地・性別・旧姓・年齢・誕生日など様々な情報を公開しています。
twitterでも自分の嗜好にあった発言などをしているでしょう。
そういった所から、「秘密の質問」によくある、「あなたの旧姓は?」「あなたの好きな映画は?」という情報などすぐに推測できてしまうのです。
どうすればいいのか
では、「秘密の質問」に対して私たちはどうすればいいのでしょうか?それは、「秘密の質問」を無効にする事です。
具体的には、「秘密の質問」を設定しなくていい所ならば、「秘密の質問」を設定しない・解除する、という事を行います。
そして、サービスの仕組みとして絶対に登録を求められる所には、
「秘密の質問」の答えを、とても長いランダムな文字列にしましょう。
つまり「秘密の質問」をパスワード認証にしてしまうという事です。
正直に「母親の旧姓は?」に旧姓を入れる必要はありません。無意味な文字列をどんどん入れていきましょう。
また、銀行やクレジットカード等の詐欺に狙われやすいサービスで
もし「秘密の質問」 を設置している所があるのならば、別の会社の似たサービスに
変更する事をお薦めします。
詐欺に狙われやすいのにわざわざそのような「秘密の質問」を残しているような所は
セキュリティの認識が低いと言わざると得ないでしょう。
被害に合わないためにも、別の会社の同様のサービスに移りましょう。
まとめ
「秘密の質問」には- 「秘密の質問」を設定しない・解除する。
- とても長いランダムな文字列を答えにする。
- 被害にあいそうなサービスなら別のサービスに移る。