自分のApple IDのセキュリティ質問をハッキングしてみた

2016年9月27日

私は2012年初め、MacBookを購入しました。当時はガジェットに関する知識がほとんどなくて、これ以上Apple製品を買うつもりはありませんでした。MacBookを立ち上げ、Apple IDアカウントを作成し、言われるがままにパスワードを入力して、セキュリティ質問に答えました。

2016-09-13-yes-we-can

4年後、iPadを手に入れました。もちろん、面白そうなアプリも買いました(いくつかは同僚が作ったこちらのリストに載っています)。こうして私は、自分のAppleアカウントの保護について考え始めました。そこで、2段階認証を有効にすることにしました。

これが、思っていたほど簡単ではありませんでした。セキュリティ質問にきちんと答えられるまで、[セキュリティ]タブの内容を変更できないのです。私が入力した答えは間違っていました。

セキュリティ質問を変更しようとすると、この操作に必要な修復用メールアドレスが確認されていないことがわかりました。未確認のメールアドレスがなぜ有効と見なされたのか、今でも謎ですが、とにかく有効になっていたために、堂々巡りが始まりました。

修復用メールアドレスの確認をしようとトライしましたが、何をやってもうまくいかず、テクニカルサポートに助けを求めようにも時間外。こうなったら解決策はただ1つ。自分のセキュリティ質問を割り出す、つまり、ハッキングするしかありません。

どうやってセキュリティ質問をハッキングしたのか

4年前に選択した質問は、それほど難しくありませんでした。答えを考えていたときに気づきましたが、私の履歴書やSNSアカウントを見れば、誰でも見当がつきそうです。

初めての職場はどこでしたか?

この質問に対する答えは、LinkedInを見ればすぐにわかります。

— 両親が出会った町の名前は?

両親が子供時代を過ごし、出会い、結婚した場所は、私が生まれた場所と同じです。同じような境遇の人はたくさんいると思います。また、SNSに出生地を載せている人も大勢います(SNSもそうするように勧めていますし)。この質問はまったく安全ではありません。

— 子供向けの本でお気に入りは?

子供のころ好きだった本はいくつかありますが、一番考えられるのはJ.R.R.トールキンの『The Hobbit』(ホビットの冒険)です。他の質問と同じように、これも秘密というわけではありません。まず、この本は非常に有名です。それに、大学時代の友人やクラスメートは、私が『The Hobbit』について、何度かレポートを書いたことを知っています。半分書きかけの論文は、『The Hobbit』の11種類のロシア語版をテーマにしていたほどです。結局、この質問に関する謎は、4年前に入力したのは短い方のタイトルか、長い方のタイトル(『The Hobbit, or There and Back Again』)か、いうことだけでした。

security-questions-screenshot-en

全部の答えを知っているのに、どうして答えが合わないのでしょう。簡単です。私のアカウントは主言語を英語に設定しているので、セキュリティ質問も英語で表示されます。ところが4年前、私はロシア語で答えを書いていたのです。言語を切り替え、同じ答えを再度入力すると、答えは一致しました。とはいえ、言語を切り替えていない人でも、答えに悩まされることがあります。大文字と小文字は合っていますか?略語を使っていませんか?ニックネームなのでは?

そこで、良いセキュリティ質問の条件について考えてみました。そして答えも。

良いセキュリティ質問とは、どんなもの?質問をリストから選ぶしかないとしたら、どれを選択すればよいでしょうか?

セキュリティ質問の良し悪しを判断するとき、次の5つの基準を考えてみましょう(英語サイト)。

1.世間に知られていないこと — 簡単に答えを推測したり調べたりできないものでなければなりません。たとえば、「あなたのお母さんの旧姓は?」。多くの銀行で採用されている質問ですが、最悪です。答えを探し出す方法は山ほどありますが、挙げていくときりがないので説明は割愛します。

2.不変であること — 時間が経つと答えが変わるようではいけません。「好きなもの」についての質問は避けましょう。好きな仕事、食べ物、バンド、映画、レストラン、観光地は、数年もすれば変わっている可能性があります。

3.記憶に残りやすいこと — パスワードはかなり頻繁に入力しますが、セキュリティ質問に答えなければならないことはほとんどありません。10代のころは小学校1年生の時の担任の名前を覚えているかもしれませんが、30代になるころには忘れてしまっている可能性があります。ましてや60代となると…。10年、20年後には答えを忘れてしまいそうな質問は避けるのがよさそうです。

4.シンプルであること — 質問の中には、正解が複数ある場合もあります。初めて飛行機で行った場所はどこでしたか?「ニューヨーク」かもしれないし、「New York」かもしれないし、「New York City」かもしれません。ほかにも「NYC」、「Central Park」など、いろいろ考えられます。何通りもの答えがありそうな質問は避けましょう。

5.選択肢がいくつかあること — 「はい」か「いいえ」で答えられる質問は、いただけません。赤の他人でも、あてずっぽうで正解する確率は50%です。良いセキュリティ質問には、無限に答えがあります。正解を知っているのは、あなただけであるべきです。

SNSのフィッシングに注意

人々に昔を懐かしく思い出してもらい、「過去の職場を初めから7つ」や「初めての飛行機旅行」などを答えさせるアンケートやクイズをSNSで見たことがあるのではないでしょうか。これらはソーシャルエンジニアリングにとって宝の山です。実際、犯罪者が始めたものもあります。

お望みなら、すぐ答えを見つけられてしまうようなセキュリティ質問(「あなたのお母さんの旧姓は?」など)に対する答えを、誰にも推測できないような、たとえば「XCU*(&S1042!」に変えることもできます。もちろん、自分自身が混乱してしまわないように注意が必要ですが。

それよりも、旧姓「Woodhouse」の子音だけを残して、「wdhs」にするといいかもしれません(訳注:日本人ならローマ字表記で同じことをする)。これに誕生日の04.08.80(1980年4月8日)を等間隔に挿入して、04wd08hs80としましょう。これでバッチリ!とまでは言えませんが、名前をそのまま使うよりはずっとましです。

このような方法は、答える機会が度々あるセキュリティ質問に適しています。事あるごとに思い出す必要があれば、こういう組み合わせでも記憶に残ります。

とはいえ、詰まるところ、セキュリティ質問よりも効果的にアカウントを保護する方法はいくつもあります。2段階認証もその1つです。