So-net無料ブログ作成
  • ブログをはじめる
  • ログイン

パスワード忘れを救う「リマインダー」には危険がいっぱい [トラブルの予防]

 パスワードを忘れてしまい、サービスにログインできなくなってしまったことはないだろうか。そのような場合の復旧手段として、多くのサービスが「リマインダー」という機能を用意している。

 リマインダーは、何らかの方法でシステム側がユーザーの本人確認を行い、ユーザー自身でパスワードの再設定などを行えるようにする便利機能だ。ところが、時にはそれがセキュリティ上の大きなリスクになることがある。ID/パスワードを使って正面玄関から入るよりも、リマインダーを使って裏口から入った方が突破しやすいことがあるのだ。

■メール、SMS
 多くのサービスが提供しているのが、登録したメールや電話番号あてのSMSで、復旧用のコード(一時的なパスワード)や復旧用の特別なリンクを知らせ、それを使用してパスワードを再設定する方法だ。メールを受け取るメールアカウントやSMSを受け取る端末にアクセスできる相手を本人とみなすので、端末の紛失やロック画面への通知、メールアカウントへの不正ログイン、マルウェア(ウイルス)感染などに細心の注意を払わなければいけない。復旧手段が第三者にアクセスされると、勝手にパスワードを変更され、アカウントを乗っ取られてしまうかもしれない。復旧用と同じメールアドレスや電話番号を二段階認証にも使用している場合には、二段階認証も突破されてしまうし、復旧操作を行うと2段階認証が無効化してしまうサービスもある。
 メールアカウントの侵入を足掛かりに、登録していたサービスが次々に不正アクセスされてしまう事例が、しばしば報告されている。リマインダー用のメールアカウントや端末は、利用するサービスよりも高いセキュリティを確保し、厳重に管理するよう心掛けたい。

■復旧コードの発行
 復旧用のコードをメールやSMSでその都度受け取るのではなく、事前に発行しておくことのできるサービスもある。復旧用のコードを持っていれば本人とみなすので、紙に印刷するなり書き写すなりして、安全なところに保管しておく。パソコンやスマートフォンにデータとして保管してもよいが、暗号化するなどして第三者に見られないように保護しておかなければいけない。万一盗まれた場合には、無効にする、または再発行(更新)することで、盗まれたコードは使用できなくなる。

■秘密の質問と答え
 本人確認の手段に、ユーザーが事前に設定しておいた「秘密の質問」とその「答え」を使用する方法がある。メールやSMS、復旧コードにアクセスできる人を本人とみなすのに対し、こちらは、本人しか知らないはずの「答え」を知っていれば本人と判定する。通常のログインで用いているパスワード認証と同じ仕組みだが、「ペットの名前は?」とか「母親の旧姓は?」といったありきたりの質問に素直に答えてしまう方が後を絶たず、パスワードよりも簡単に破られてしまうセキュリティ上のネックになってしまっている。このため廃止したサービスもあるが、しぶとく生き残っていることもあるので注意したい。別の手段が利用できるならそれを利用し、できれば「秘密の質問」は機能しないように無効化する。無効にできない場合には、破られることのない難解な文字列を登録しておくことをお勧めする。

■登録端末やアプリを使う
 事前に登録した、あるいはログイン中のアプリやブラウザから、復旧用のコードを取得するなどの方法で、復旧操作が行えるサービスがある。自宅のパソコンとスマートフォンというように複数の端末をお持ちの方は、どちらでもアクセスできるようにしておくと復旧の手助けになるかもしれない。ただし、ログインした端末を操作できる人を本人とみなして復旧操作を許可してしまうので、紛失や盗難、第三者による不正操作にくれぐれも注意したい。アクセス可能な端末数が増えれば復旧の手段が増えるとともに、アカウントを乗っ取られてしまうリスクも増加する。

■知人の手を借りる
 Facebookの「信頼できる連絡先」のように、知人を利用して復旧できるサービスもある。事前に登録したメールや電話番号、端末、アプリなどに代わり、登録した知人に復旧用のコードを受け取ってもらう、SNSならではの機能だ。この機能では、復旧を手助けしてもらう相手が本当に信頼できる人であることと、手を貸す側が本人になりすました第三者に手を貸してしまわないように注意することが重要だ。実際にこの機能が悪用され、アカウントを乗っ取られてしまった事例があるので注意したい。

■カード番号
 貯めていたポイントが誰かに突然使われてしまう事件に関連して、ポイントカードの「Tカード」と連携したYahoo IDが、そのカード番号を本人確認に使用していたことが、11月13日、ネット上で話題になった。
 Yahoo IDのリマインダーには、「メールアドレス」「携帯電話番号」「生年月日と秘密の質問」というよくある選択肢のほかに、Tカードと連携している場合に「Tカード番号」という項目が選択できた。これを選択して登録した正しいTカード番号を入力すると、本人とみなして復旧作業が行えるようになる。
 一般的なリマインダーの場合は、ここで新しいパスワードを再設定する。ヤフーでは、メールアドレスやSMSあてに送られてくる確認コードでログインする方法を提供しており、復旧作業時には、パスワード設定のほかにこれらを選択することもできる。携帯電話番号やメールアドレスを使用する通常のログインでは、登録済みの電話番号やメールアドレスあてにログイン用の確認コードが送られてくるのだが、復旧作業時には任意の送付先を指定できる。リマインダー経由で、パスワードを再設定することなく、2段階認証(ヤフーではワンタイムパスワードと呼ぶ)も無視してログインできたのだ。ネット上には、この手口でTポイントが奪われたと見られる投稿があり、Tカード番号での本人確認は、その日のうちにリマインダーから削除された。

(2018/11/29 セキュリティ通信)

【関連記事:セキュリティ通信】
・コツコツ貯めたポイントが突然消失――店頭でカードアプリ不正使用相次ぐ
https://security-t.blog.so-net.ne.jp/2018-10-26

bnr_300×250.png
<カスペルスキー セキュリティ>月額利用料金最大3カ月無料キャンペーン中!詳しくはこちら|So-net

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。