方式では画像の種類が自由になっていたため,どのような画像を選択すればよいのかが曖昧であったため,画 像を識別するまでに時間がかかったものと思われる.
図5.9を見ると,風景写真に対する反応率が最も悪くなっている.これは,風景という画像の種類に属する 写真には似たようなものが多かったことが原因となっていると考えられる.一方で,顔に対する反応率が一番 良いことがわかる.認証に要する時間という点で利便性について考えると,顔の写真や他との類似性が低い写 真が利便性に優れた画像であることがいえる.
さらに,図5.10をみると,1番目と4番目では平均2秒もの差があることがわかる.最後は「これができれ ば成功なので慎重になった」と述べた被験者もいたことから,このような差が現れたのだと思われる.
また,アンケートの結果からは,被験者は時間がかかることに対してストレスを感じていないということがわ かった.しかし,実際にサービスを利用し始めたときにどのくらいのストレスを感じるのかは明らかではない.
6.1.4 プライバシーについて
アンケートの結果から,ほとんどの被験者が顔や作品の写真をパスワード画像に使うことに対して抵抗感が あることがわかった.認証に要する時間が短くて済んだとしても,顔をパスワード画像に設定するユーザは少 ないことが予想される.一方で,風景写真に関しては,一人も抵抗を示さなかった.プライバシーの問題を考 えた場合は,風景写真は画像認証には適した画像であるといえる.
6.2 安全性について
本節では,安全性に関しての考察を,Educated Guess攻撃実験とObservation攻撃実験とアンケートの結 果から述べる.
6.2.1 Educated Guess 攻撃について
まず,同じ研究室に所属する人に対する攻撃結果について見ると,作品や愛用品が高い割合で推測が成功し ていることがわかる.これは,普段の会話から趣味などの話が出る確率が高く,その会話から推測した結果が 現れているものだと思われる.また,ランダム画像についても作品と同等の確率で推測が成功している.他の 種類とは異なり,ランダム画像の場合,実験シートがランダム画像のみから構成されていたため,シート1枚 あたり4つのパスワード画像が含まれていた.一貫性を推理することもできたため,推測がしやすく,このよ うな高確率につながったものと考えられる.ランダム画像を推測したときの理由を被験者に聞くと,直感以外 には 普段のイメージから推測 , 他の画像とは違う雰囲気 と述べた人がいた.このようにランダム画像で あっても,一つの種類の画像のみで画像認証システムを構築するとある程度の推測ができてしまうということ が判明した.
次に,家族に対する攻撃結果について述べる.今回の評価実験では,顔写真には,身内や友人の顔を使うよ うに制限した.このため,家族に対する顔写真への推測攻撃の成功率は非常に高い結果となった.また,同じ 研究室に所属する人に対する攻撃結果と同様に作品に対する推測成功率は高く,風景写真に対する成功率は比 較的低い結果となった.風景写真に関しては,同じ画像の種類に属する写真の中で似ている写真が多かったこ とと,普段の会話などからあまり推測につながる話が出てこないことが原因であると思われる.
次に,他人に対する攻撃結果について述べる.他人に対してはほぼ推測が成功しなかったことがわかる.ただ し,ランダム画像については他の写真と比較すると高確率で推測が成功していることがわかる.先に述べたよ うにランダム画像の場合,実験シートがランダム画像のみから構成されていたため推測はしやすい状況であっ た.他人のパスワード画像を推測した理由を被験者に尋ねると, パスワード画像間での一貫性を見た や あ る画像を一枚選んでからそれに関連した画像を選んでいった と答えていた.自由選択画像の場合もランダム 画像と同様に,実験シートが自由選択画像のみから構成されていたため,シート1枚あたり4つのパスワード 画像が含まれており,3人の被験者のパスワード画像間で, 被写体の種類 , 背景 , 写真の明るさ , 画 質 などの点で共通性が見られる人もいたが,これらはあまり推測結果には影響することは無かった.写真に ついては,一貫性が存在しても攻撃者は気づかなかった一方で,ランダム画像の場合は,色や模様などに一貫 性が現れやすい場合が多かったため,ランダム画像と写真との間に差が生まれたのである.アンケートの結果 を見ても,推測の理由として,「被写体の種類」の次に,「パスワード画像間での共通性」が多いことがわかった.
以上の結果から,Educated Guess攻撃に対しては,普段の会話から推測されにくいパスワード画像を設定 すべきであり,具体的には風景写真が優れているといえる.さらに,他のパスワード画像との一貫性を持たせ ないことも重要であることがわかった.また,ランダム画像だけでシステムを構成した場合,ランダム画像は
あまりEducated Guess攻撃に対して強度が高くは無いことがわかった.一貫性を生み出さないためには,ラ
ンダム画像や風景などの様々な種類の画像を組合すことが重要である.
6.2.2 Observation 攻撃について
図5.15を見ると,全ての方式において高い確率でObservation攻撃が成功していることがわかる.これは,
被攻撃者が認証を行った直後になりすましを行うという攻撃者にとって,非常に有利な条件で実験を行ったた めであると思われる.ただし,この条件下でも,覗き見したパスワード画像を攻撃者が一瞬で忘れてしまう場 合が多々あった.また,各方式の間には大きな差はないことがわかる.Photo Bokkuruでは,同じ種類の画像 を同じ画面に表示することでObservation攻撃に対して強い認証システムにすることができると予測していた が,結果はむしろP2方式などよりも高くなってしまっている.これは,今覗き見している画面では,どのよ うな画像を覚えればいいのかを予め意識しておくことができたからであると考えられる.逆に,F方式ではど のような画像がパスワード画像になっているのかが全く想像できなかったため,一番成功率が低くなっている ものと思われる.また,ほとんどの被験者が他の方式と比較してR方式での覗き見攻撃が最も困難であったと 答えたが,結果には現れていないことがわかる.ただし,P1方式などとは異なり,R方式の場合,出現する画 像は全て同種の画像(ランダム画像)であった.
次に,画像の種類別に結果を見ると,顔写真に対する攻撃が最も成功しやすくなっていることがわかる.認 証実験においても顔に対する時間が最も短かったことから,人間は人の顔に対して特別な記憶力を持っており,
顔をパスワード画像に使うことは利便性と危険性の両面を併せ持っているといえる.顔,風景,作品,愛用品,
自由選択画像の5つの平均をとった 写真 とランダム画像を比べてみると差はほとんどなかった.Educated
Guess攻撃と同様にランダム画像はあまり,攻撃に対して強度が高いわけではないことが判明した.
Observation攻撃実験では,囮画像はあまり見ず,パスワード画像だけを集中して見ていた被験者が多かっ
た.Observation攻撃実験の結果において,方式や画像の種類ごとにあまり差が出なかったのはこのことが影 響したからだと推測している.アンケートの結果を見ると,覗き見攻撃時に,「形」や「色」を手がかりとして いた被験者が多いことがわかった.特徴的な形や色,模様などが存在すると遠目からでも被攻撃者が何を選択
したかが判明してしまい,攻撃の成功率は上昇してしまうことが予想される.示差性の高い形や色,模様が存 在する画像を使わないようにすることがObservation攻撃に対しては重要であることがわかった.
6.2.3 その他
アンケートの結果から,6人中5人の被験者が同じパスワード画像を色々な場面で使いまわすだろうと述べ ていた.このことから,サービスや場面に応じて異なるパスワード画像を使ってもらうには,大量のパスワー ド画像を覚えておくことができるかどうかが問題ではなく,設定の簡便さなどが重要そうである.
今回の認証実験では,全ての被験者の認証画面での囮画像は同一の物を使用していた.これは,囮画像を用 意する手間を軽減するためであった.しかし,安全性を考慮するならば,ユーザごとに異なる囮画像を使用す ることが必要であった.ユーザごとに用意することで,Educated Guess攻撃をはじめとした攻撃への強度を 上げることができるからである.