セキュリティがますます重要になる昨今ですが、
感覚が時代についていっていない寝ぼけたセキュリティ担当者がいるのもまた事実です。
本件もまたその寝ぼけた設定項目の一つ、セキュリティの質問についてです。
Contents
セキュリティの質問とその意義
名前こそ「セキュリティの質問」ですが、全くセキュアではありません。
それこそ、"裏口の鍵の場所" とでもした方が本当の意味が伝わる気すらします。
「秘密の質問」も何がどう使われるか全く伝わらないのでどうかと思います。
自分で設定したパスワードすら忘れたと問い合わせる困った人が多いことを受けての、
苦肉の策と推察しますが、皆に強制するのはナンセンスです。
いくらパスワードを複雑にして、更に厳密に管理していても、
比較的容易に調査、類推、或いは総当りできるこの手の質問は、
セキュリティの低下と、アカウントを乗っ取られるリスク以外の何物でもありません。
Windows 10 の「セキュリティの質問」設定の回避方法
まずそもそも "ローカル"な アカウントを作成するところからスタートです。
ローカルユーザーを追加する
何かにつけて Microsoft アカウントと連動させようと半強制するので、
ローカルユーザーを作るのもひと手間です。
各所からアカウントを追加するを開きます(説明略)。
"Microsoftアカウント" というタイトルのウィンドウが開きますが、
ここでメールアドレスや電話番号を入力せずに、
下の「このユーザーのサイン情報がありません」を選択します。
すると、さらにしつこく Microsoftアカウントを作らせようとするので、
一番下の「Microsoftアカウントを持たないユーザーを追加する」を選択します。
これでようやく、ローカルユーザー(画面の言葉で「このPC用のアカウント」)が作成できます。
「セキュリティの質問」の回避方法の重要なステップ
さて、ここでユーザー名とパスワードを2回入力させようとしてきますが、
ここでパスワードを入れてはいけません。
ユーザー名だけを入れて、「次へ」を押します。
パスワードを入れて次へ進むと3つのセキュリティ質問を強制され、
これを回避する手段はありません。
仕上げ
このままではパスワードが設定されていないアカウントになってしまうので、
後から別途パスワードを設定します。
この時にはセキュリティの質問を強制されないので、
晴れてセキュアなアカウントを作成することができます。
# 標準的に安全なローカルアカウントを作るのにこれだけ回り道をしないといけないというのは本当に○っていると思います。
コンピューターの管理からでも、、、
コンピューターの管理 → システムツール → ローカルユーザーとグループ → ユーザー
上記から右クリックで「新しいユーザー」でもできますね。
こちらのほうが簡単ですね。
以下余談。
他の「セキュリティの質問」のような落とし穴にどう対処すべきか?
Windows10 のアカウントは、まだこうやって回避できるだけマシかもしれません。
この手のリスクをどうしても回避できない Webサービスや、
アカウント、ユーザー認証の構造的欠陥ともいうべきサービスを、
かなりの大手が大きな顔してやっているので救いようがありません。
nanac○ の欠陥仕様
nanaco を webから管理、操作できるのはご存知でしょうか?
この webサービスの認証には、カードウラ面の 16桁と7桁の数字が使われています。
これとは別に通常の ID/password でのログイン方法もあります。
他のサービスとカードを紐付けて、ID/password でログインできる状態にしたとしても、
恐ろしいことに、この 16桁と7桁のログイン方式を無効化できません。
クレジットからのチャージなど特に重要な部分は、別のパスワードを設定可能ですが、
ユーザーアカウントにカード番号を紐付けるのではなく、
カード番号にユーザーアカウントを紐付けているのです。
カードを落としたり紛失したりした時は、あるレベルで好き勝手されるというのは仕様だそうです。
私はこの問題をかなり前にサポートデスクに問い合わせていて、
その時の反応があまりにアレだったので、
その後 ○payが不正利用で問題になった時には、「さもありなん」という感じでした。
もちろん私は当該pay を利用しておらず、被害もありませんでしたが。
誕生年月日は秘匿すべき個人情報か?
もう一つよくあるのは、パスワード再発行や本人確認の手段として
誕生(年月)日を入力させるというものです。
yah○○ とか某クレジット会社もそうだったと思います。
でも、誕生年月日って、秘匿すべき個人情報なのでしょうか。
私は全くそう思わないので、セキュリティ上のリスクでしかないと考えています。
誕生日がこのような使われ方を度々するようになる前から、
私は特に利便性にも効かない、この誕生日情報を不要に感じていました。
なので、入力を強制された際は時にはデタラメを適当に入れていました(※)。
後日、アカウント情報の何かを変更する際に、
誕生日を問われ、案の定答えられずアカウントを失うことになりました(1敗)。
こういう使われ方をするのが嫌だから本当の誕生日を入力したくなかったのですが、
それが裏目となって、本当の所有者がアカウントを使えなくなるとは何という皮肉でしょうか。
私は今でも可能な限り、答えない or メモを取って正しい情報は入れないようにします(※)
※ デタラメな情報を入れることは、アカウント規約などに反する可能性があります。
規約違反によるアカウント失効にもご注意ください。
避けられない「セキュリティの質問」にはどう対処するか?
なるべく自分で質問を設定する
選択式ではなく、自分で質問を設定できる場合がありますが、
そういう場合はなるべく独自の質問を考えましょう。
答えの選択肢が少なくない、独自の質問がいいと思います。
あとは質問を英語で作っておいて、答えはひらがな/カタカナとか敢えてチグハグにするとか。
# 攻撃者はやはり英語圏が多いだろうし、アカウント名だけでは所有者の国籍は分かりにくいですしね。
既設の質問に対しては?
- 答えの候補が少なくない、多様な答えを期待できる質問を選ぶ
- 答えの表記を工夫する(日本語, 英語, 漢字/ひらがな/カタカナ, 略称など)
- 答えを突拍子な表現にする
例:〜の場所は? → "Galaxy", "太陽系第三惑星" など, まだ辛うじてウソではない - 答えをデタラメにする
要は、自分が後からその質問を見て同じように答えられれば良いので、
まともにつきあっていては、セキュティ上のリスクでしかないということを
意識したほうがよいのではないかと思います。
冒頭に戻りますが、「セキュリティの質問」は「unsecureな質問」です。