ask.fmを使った「秘密の質問」に対するソーシャルエンジニアリング攻撃 28
ストーリー by hylom
秘密の質問には適当に答えよう 部門より
秘密の質問には適当に答えよう 部門より
個人に対するインタビューを行えるサイト「ask.fm」で、Webサービスのパスワードを忘れた際にリセットや変更を行うために使われるいわゆる「秘密の質問」が投げかけられているという話が出ている(ITmedia、Togetterまとめ)。
具体的には「初めて観た映画のタイトルは?」「初めて飛行機で行った場所は?」「初めて遊びに行った海の名前は?」「十代の頃の親友の名前は?」などで、これらはApple IDのパスワードを忘れた際に聞かれる「秘密の質問」だそうだ。
ここのところ (スコア:3, 興味深い)
ここのところ秘密の質問の脆弱性(?)が話題になっているというのに、
某オンラインバンキングにログインしたら、新たに秘密の質問と答えを3つ設定せよ[必須]と出ましたよ。ask.fmで訊かれなくても、TwitterやFacebook眺めてれば答えられそうな質問ばかり・・・
どうせ残高0なので、ウソ回答考えるのが面倒で正直に答えちゃいましたが。
「パスワードリセット」ではなく「追加認証」が目的の「秘密の質問」なら無問題 (スコア:2)
多くのWebサービスでは、「秘密の質問」はパスワードを忘れたときの為のもので、
といった組み合わせを入力できれば、パスワードの再設定が可能(アカウントを乗っ取れる)仕組みになっています。そういったところでは推測できない文字列にする [ipa.go.jp]必要があると思います。
しかし、銀行では、そんな間抜けなところは皆無で、「秘密の答え」でパスワードリセットできるところは皆無なはずです。ふつうはログイン時の追加認証 [mizuhobank.co.jp]に使われます。普段は、「お客さま番号」 + 「ログインパスワード」でログインできますが、パソコン(Cookie)やIPアドレス(リモートホスト名)などが普段と異なっていたり、同じIPアドレスから多数のログイン試行があった場合などで、追加で回答が要求されるものです。
ネットバンキングでは、IDの強度が弱い(お客様番号が8桁の数字だったり、銀行によっては口座番号だったり)ところが多いので、脆弱なパスワードを辞書攻撃などで破られにくくするなどが主目的で「秘密の質問」を使っているのだと思います。ソーシャルエンジニアリングでその答えを知ったところで、対応するIDとパスワードが分からなければ何もできないので、「秘密の質問」への答えを正直に登録しても何の問題もないでしょう。辞書攻撃・ブルートフォースアタック対策として、Google や Yahoo! では同じIPアドレスから何度かログインに失敗すると CAPCHA(画像認証)が求められますが、最近はプログラムによるCAPCHAの解析も可能となっているしユーザビリティも最悪なので、CAPCHA ではなく「秘密の答え」を使うオンラインバンキングは素晴らしいシステムであると思います。
また、銀行の「秘密の質問」での追加認証は、IDとパスワードをセットで、メモしたりパソコンにテキストファイルで保存したりする人への対策も兼ねていると思います。従って、銀行などの「追加認証」が目的の「秘密の答え」を、ランダムな英数字にして同様に控えておくのはかえってセキュリティレベルを下げることになります。そういった意味でも、オンラインバンキングの秘密の質問には正直に答える(メモ・記録する必要がない)のが望ましいでしょう。
Re:「パスワードリセット」ではなく「追加認証」が目的の「秘密の質問」なら無問題 (スコア:1)
駄目な客(酷い言い方をすれば馬鹿、問題起きても自業自得な客)のために、まともな客に不便とリスクを強制するのが素晴らしい?
しかも問題が起きたときに客に少しでも過失があれば「お前のせいだから知らん」と言う銀行が、だ。
自画自賛もたいがいにしてくれ
秘密の質問なんて追加するなら日本語OKなパスワードの追加でもしろよ
Re: (スコア:0)
さらにアクセス環境(IPアドレスやブラウザ、OS)も一緒かどうかも見ているところもあります。
アクセス環境が同じで且つ「秘密の質問」とその答えが同じという状況ってなかなか作れないかと。
Re: (スコア:0)
パスワードは漏れたら変えられるけど例えば母親の旧姓は今さら変えられないんだよね
Re:「パスワードリセット」ではなく「追加認証」が目的の「秘密の質問」なら無問題 (スコア:2)
パスワードは漏れたら変えられるけど例えば母親の旧姓は今さら変えられないんだよね
変えられますよ。ひらがなにすればいいじゃないですか?
パスワードと暗証番号同じにしか出来ないと思ってるのと同じレベル。
Re:「パスワードリセット」ではなく「追加認証」が目的の「秘密の質問」なら無問題 (スコア:1)
ひらがな、カタカナ、漢字、アルファベット
たったの4パターンか。漢字の読み方が複数あればちょっとは増えるし混ぜると言う手もあるが
どちらにせよ入力する際に「どのパターンで入力したっけ?」となって結局はどこかにメモ取る人が増えるだろう
そういうことを言ってるのでは?
Re:「パスワードリセット」ではなく「追加認証」が目的の「秘密の質問」なら無問題 (スコア:2)
なるほど。確かに困ったことありました。
「ー」を入れたかどうかとかね。
なので私はルール決めて入力しておきますけどね。
Re: (スコア:0)
秘密の質問はランダム文字列でメモも取らない(パスワード忘れたらログインできなくて構わない)運用してるので、事前に用途の通知がないままそれやられると割りと詰む。
Re: (スコア:0)
井上成美 (スコア:1)
好きな人は?「おばあちゃん」
待ち受け画面は?「おばあちゃん」
初恋の人は?「おばあちゃん」
人生で一番尊敬する人は?「おばあちゃん」
1日他人に変身できるとしたらなりたいのは?「おばあちゃん」
Re:井上成美 (スコア:1)
どこの女の子だろうとググったら、海軍大将ですか。。。
Re: (スコア:0)
おおう、「井上成美 レーカン」でググってみてくれ。
Re:井上成美 (スコア:1)
海軍大将 → 海軍と言えば戦艦や空母 → 「井上成美 レーガン」 → 元アメリカ大統領?
(このあとgoogleセンセに聞いたら、ちゃんとレーカン!で検索してくれました)
Re: (スコア:0)
ああ、あの井上さんか。
原作漫画しか見てないので、たいてい「井上」としか
呼ばれてないから、名前まで気づかんかった。
Re: (スコア:0)
>1日他人に変身できるとしたらなりたいのは?「おばあちゃん」
身内じゃないのか
フィルタせよ (スコア:0)
こういったものはask.fm の側でフィルタアウトすれば良いのではないか。
ある程度の言語の揺れは正規表現などで調整できるだろう。
「秘密の質問」のお国柄 (スコア:0)
「母親の旧姓は?」という質問には日本のお国柄が表れてると常々思っていましたが
Apple IDの秘密の質問ってアメリカ的なんでしょうかね?
「初めて観た映画のタイトルは?」→憶えてない
「初めて飛行機で行った場所は?」→憶えてない
「初めて遊びに行った海の名前は?」→憶えてない
「十代の頃の親友の名前は?」→小中高大それぞれ違うから選びにくい(答えにくい)
Re:「秘密の質問」のお国柄 (スコア:1)
"Your mother’s maiden name has been a ‘security question’ since 1882" [fusion.net]
もちろんUSのお話。
Re:「秘密の質問」のお国柄 (スコア:1)
その手の「秘密の質問の問い」には、
中2病的感性を発揮して「答え」を
書くようにしています。
自分ではすぐに答えを思い出せますが、
答えを他人に見られたら、違う意味でも大変なのです。
ソーシャルハックツリーはここに決めた! (スコア:0)
として面白おかしい回答を書き込みたきゃここなと言いたかったけど、
まあふざけたとしてもハック側にデータを提供することになるし、
こういう回答に対して独自性としておふざけ回答を政界にしてる人がいるかもしれないので、
あえて「おもしろおかしい狙いの回答例のカキコはやめとけ」と提案しておく。
うん、俺も書きたいのちょっと我慢している。
Re: (スコア:0)
>「十代の頃の親友の名前は?」→小中高大それぞれ違うから選びにくい(答えにくい)
そんなものはいたことが無い ;-(
Re: (スコア:0)
左手
みんな正直に答えてるの? (スコア:0)
いまだかつて真面目に答えたことないんだけど。
適当に「くぁwせdrftgyふじこlp」みたいな感じで。ぐちゃぐちゃに登録してるわ。
いざ必要になったときは詰むだろうけど、幸い一度も必要になったことはない。
Re: (スコア:0)
然り。
第二のパスワードと考えて
オフラインで書きとめておくべし。
Re:みんな正直に答えてるの? (スコア:1)
もうひとりの自分がどこかにいて、車を買ったり犬を飼ったりしてて、母親はロシア人らしいんだ
Re: (スコア:0)
俺は、ひみつの質問の答えをpythonのhashlib(アルゴリズム名は一応伏せておこうw)でハッシュ化したダイジェストを入力してる。
全部入れるのは面倒なんで「ある程度の文字数」(これも伏せておこうw)だけだけどね。
Re: (スコア:0)
正直に答えるのが間違いだというようなものを回答必須にしないでもらいたいね