今回の漏えいで厄介な点は、ID、パスワードだけでなく、そのパスワードを忘れた場合の再設定に必要な秘密の質問と答えも漏えいしたCの方がいる点だと思います。
最初、Cの方は通常のシステムの運用でどのようにして”秘密の質問”やその”答え”を変更させるのだろうか疑問に思っていました。
そんなに簡単に秘密の質問や答えの変更ができて問題ないのでしょうか?
フローを見ると、今回はC対象者は特別に秘密の質問と答えがクリアされ、再設定できるようになっているようです。
“秘密の質問”やその”答え”の漏えいというのは、もし、ハッカーに”秘密の質問”やその”答え”を変えられた場合、自分が本人であることを証明する手段を失ってしまいかねません。
これまで”秘密の質問”と”答え”というのは、私自身の中ではパスワードを忘れてしまった時に非常に便利な機能と思っていました。
最近、マイクロソフトのアカウントの取得を行う機会がよくあります。
驚くのはあらかじめ用意された秘密の質問の選択肢が少ないこと、それから、お客様の答えがあまりにも一般的すぎ誰でも答えられてしまい”秘密の質問”がセキュリティホールにならないか心配になることがあります。
人が関与するセキュリティの脆弱性でしょうか。
認証の世界では、パスワードだけの一つの認証からネットバンキングなどでよく利用されているマトリックスコードや秘密の質問、ワンタイムパスワードなどセキュリティを強固にした多要素認証の仕組みが一般的になっています。
多要素認証においても一旦漏えいしてしまうと、復旧方法の難しさ、要素が増えたことによるセキュリティホールの問題点もあることが垣間見えた気がします。
認証の世界は、常にハッカーとの戦いが繰り広げられています。
共通番号制度(マイナンバー)が導入されそうですが、漏えい防止が一番大切ですが、漏えいした場合の対応もよく考えておく必要があると思います。