匿名で質問を投げかけ、他のユーザーに答えてもらう「ask.fm」というインターネット上のサービスがある。Twitterと組み合わせて使っている人が多く、欧州を中心に数年前から若者に大流行しているサービスだ。

日本でもこのサービスを利用している若者は多い。ところが、このask.fmを悪用して「秘密の質問」の答えを聞き出す事案が頻発している。

 秘密の質問は、さまざまなネットサービスにおいて、ログインする際のパスワードを忘れた場合に本人確認をする手段として用意されているものだ。一般的には、いくつかの質問リストから質問を選び、それに対する答えを入力する。用意されている質問は「ペットの名前」「嫌いな食べ物」というような身近なものが多い。

 問題となった事案では、「初めて観た映画のタイトルは?」「初めて飛行機で行った場所は?」「初めて遊びに行った海の名前は?」「十代の頃の親友の名前は?」などの質問が投げかけられ、それに答えた人のアカウントが乗っ取られるというものだ。ちなみに、これらはApple IDのパスワードを忘れた際に聞かれる秘密の質問だ。

●うっかり自分でバラしてしまう人多数

 秘密の質問を直接ネット上で質問された場合、いまや多くの人は警戒して答えないようになってきているだろう。しかし、人によっては自身のTwitterやFacebookなどで秘密の質問の答えを公開してしまっている。

 例えば、ペットの名前や母親の旧姓などを近況と共に語ってしまっている場合がある。昔見た映画のタイトルや十代の頃の友人にしても、つい思い出話をして明らかにしてしまっている可能性がある。好きな食べ物や果物などが秘密の質問になっている場合もあるが、過去の記事をひもといて見れば、すぐにわかってしまうだろう。


 秘密の質問で問われる内容は安易な事柄が多いため、乗っ取り犯に狙われた人は、普段からよほど気をつけていない限り、答えがわかってしまう可能性が高い。

●当てずっぽうでも結構当たる

 アメリカ人を対象としたグーグルの調査によると、「好きな食べ物」の答えは、1回で19.7%の確率で当たったそうだ。ちなみに、答えは「ピザ」だったという。韓国では10回トライすると「生まれた街」を39%、「好きな食べ物」を43%当てられるという。

 もともと「秘密の質問」をパスワード代わりにすることには否定的な意見も多い。そのため、今では質問に答えられても、いきなり失念したパスワードを表示したりログインできるような、セキュリティの甘いネットサービスはほとんどない。質問に答えられた場合には、事前に登録していたメールアドレスにパスワードを送る、または再設定用のURLを送る、といった対応が多い。

●秘密の質問には何と答えるのが正解?

 それでも、いまだに秘密の質問を鍵そのものとして扱っているサービスもある。メールでパスワードが送られてくるサービスの場合でも、秘密の質問は簡単に突破されないようにしておいたほうがいい。

 では、具体的にどのようにすれば、秘密の質問を破られにくくできるだろうか。

 例えば、「まともに答えない」ことを推奨する意見がある。確かに、毎回同じ質問を選んで同じ答えを入力するのは、非常に緩いパスワードを使い回しているのと同様だ。
しかし、さまざまなサービスにおいて質問項目がかぶっているから、答えをばらばらにするのは現実的ではない。では、嘘の答えを設定すればよいかといえば、それもまたオススメできない。なぜならば、その答えを忘れてしまうともっと面倒なことになるからだ。そもそも、嘘の答えを管理しておけるならば、最初のパスワードも管理でき、秘密の質問自体不要となるはずだ。

 パスワード管理ツールなどを使っている人は、そこでまとめて管理してもよいだろう。しかし、もっと簡単で安全な方法を情報処理推進機構(IPA)が提案している。

 ここで紹介されているのは、回答の後ろに自分の好きなフレーズを付け加えるという方法だ。例えば、「好きなくだもの」という質問に対する「みかん」との回答を「みかんカモしれない」とするものだ。この「カモしれない」のように、自分だけの秘密の鍵をつくることで、他サービスで「母の旧姓」に対し「前田カモしれない」などと応用できる。このように、質問には正確に答えつつ、自分なりにアレンジした言葉を付け加えることで見破られにくい方法を編み出してほしい。
(文=編集部)

編集部おすすめ