春休みのホテルで、深夜に無料のiPhoneアプリをダウンロードしていたら、突然iPhoneが3つのセキュリティ質問を選んで答えろと要求してきた。いや、むしろ指示してきた。タイミングが悪いのだが、答えるまではダウンロードを続行できないので、仕方なく質問を選び、答えを入力することにした。しかし、これは納得のいくものではなかった。AppleがiOSを厳重にロックしているので、この中断はマルウェアによるものではないことはほぼ確実だ。しかし、なぜこれらの質問が尋ねられるのか、そして将来どのように利用されるのか、Appleが何の根拠も示していないのは残念だ。
混乱し、イライラしたのは私だけではありませんでした。多くの人がこれらの回答を求められていますが、質問の多くはかなり個人的な内容であるため、ちょっとした邪魔から不気味な侵入まで、そのプロセスは様々です。マルウェアやセキュリティ関連の話題が盛んに取り上げられている中で、この突然のプロンプトは多くの人にとって不審に思われ、TidBITS TalkやApple Support Communitiesフォーラムで議論が巻き起こりました。幸いなことに、MacworldのLex Friedman氏がAppleに確認したところ、これらのプロンプトは正当なものとのことでしたが、それ以上の詳細は明らかにされていませんでした。どうやら、iTunes経由での購入でもこれらの質問が表示される可能性があるようです。
Appleは、セキュリティ質問に加えて、Apple IDに登録されているメールアドレスとは別のメールアドレスの提供を求めています。これは、アカウントに何らかの問題があり、メインのメールアドレスが不正使用されている可能性がある場合に備えての措置と思われます。残念ながら、この予期せぬアドレス確認メールは、配偶者や子供がファミリーiTunesアカウントのセキュリティ質問に回答していた人々を動揺させました。
これらの追加のセキュリティ質問と別のメールアドレスの理由は、iTunesアカウントのセキュリティを強化するためであることは間違いありません。これらの質問は比較的簡単に推測できるセキュリティ質問であり、私が目にした中で最も一般的なのは母親の旧姓と出生地です。これらの質問によって、悪意のある人物が答えを推測する可能性が軽減されるはずです。
気になるのは、Appleが尋ねる質問の多くに、必ずしも同じ答えを二度も返せるような確かな答えや、正しく入力できると確信できる答えがないことです。母親の旧姓や出生地といった定番の質問は(少なくともほとんどの人にとっては)明確な答えがあり、変わることなく、自動プロンプトに確実に入力できます。対照的に、Appleが尋ねる質問をいくつか挙げてみましょう(更新を続けるともっと多くの質問が表示されますが、改善されたわけではありません)。
- これまで所有した車の中で一番のお気に入りはどれですか?
- これまで所有した車の中で、一番気に入らなかった車はどれですか?
- あなたが最初に所有した車は何ですか?
- あなたの好きな先生は誰でしたか?
- あなたの一番嫌いな先生は誰ですか?
- あなたが初めて行ったコンサートは何でしたか?
- あなたのお母さんとお父さんはどの都市で出会ったのですか?
- 最初の仕事はどこでしたか?
- あなたの一番好きだった仕事はどこですか?
- あなたの幼なじみで一番の友達は誰でしたか?
- 2000 年 1 月 1 日、あなたはどこにいましたか?
- あなたが最初に所有したアルバムは何ですか?
- 初めてキスをしたのはどの都市でしたか?
こういう質問は考えすぎるタイプだと自覚していますが、自信を持って答えられるのは2つだけです。好きな先生と嫌いな先生に関する質問は難しいです。好きな先生は何人かいたものの、嫌いな先生は一人もいなかったし、これまで所有してきた車はどれも似たり寄ったりで、幼なじみの親友はどの年代を幼少期とするかによっても変わってくるからです。初めて経験したことに関する質問も困ります。一番よく覚えているアルバムやコンサートは初めてのものではないからです。また、大まかな場所に関する質問は答えが多すぎます。Y2Kの頃に私がどこにいたかは、「ワシントン」、「シアトル」、「イサクア」、「タイガー マウンテン」、「友達と、新年に持って行きたくないものを燃え盛る
焚き火に投げ入れていた」など、さまざまです。
さらに悪いことに、Appleがこれらのセキュリティ質問をどう使うつもりなのか、私にはさっぱり分かりません。複数の選択肢から答えを選ぶことは確かにできますが、指示なしに正しい答えを入力できるかどうかは分かりません。仮に答えにかなり自信があったとしても、ホテルの部屋でイライラしながら入力した内容を、正確に覚えているでしょうか?それとも、Appleのカスタマーサービスに助けを求めた場合、これらの質問も聞かれるのでしょうか?もし間違えたらどうなるのでしょうか?もし1Passwordを使ってランダムな文字列を生成して賢く入力しているつもりだったとしたら?
心理学的な観点から言えば、否定的な質問にも不安を感じます。全くの唐突に、多くの人が極めて個人的な質問だと考えるような手段で、一番嫌いな先生や仕事について聞かれることが、深刻なハラスメントを受けたり、捏造された理由で解雇されたりした人にとって、どれほど辛いことか想像に難くありません。
誤解しないでください。AppleがiTunesアカウントのセキュリティ強化のために追加措置を講じていることは称賛に値すると思います。私自身の経験から、クレジットカード番号の漏洩に対処するのは大変ですし、漏洩したiTunesアカウントでの操作も同様に面倒だと思います。
しかし率直に言って、これらの質問は、多くの人が要求に応じて回答を生成できるような設計になっていないと思います。Appleは、なぜこれらの質問が必要なのか、どのように使用されるのかを明確に説明しなかったため、何百万人ものiTunesアカウント保有者に多大な不必要な不安を与えてしまいました。将来的には、Appleのセキュリティ担当者がSiriの開発チームと協力し、身元確認に使用できる情報を、脅威を感じさせずに会話形式で引き出す方法を開発してくれるかもしれません。