日本航空の運営する「JALマイレージバンク」会員サイトに不正ログインがあり、会員のマイルをアマゾンギフト券に勝手に交換された問題で、サイトの不正アクセス防止策に問題があったのではという指摘が出ている。
会員サイトのパスワードは数字のみの6ケタしか設定できず、アルファベットを含めることができないため、セキュリティが脆弱だった可能性がある。
セキュリティ研究者「そんなものはパスワードじゃない」
同社によると、2014年1月31日から2月2日にかけ、「身に覚えのない特典交換でマイルが引き落とされている」という相談がJALのコールセンターに寄せられ、調査したところアマゾンギフト券が不正に交換されていることがわかった。
4日現在で40人が被害に遭ったことが確認され被害額は200~300万円ほど。その一部が使われたという。アマゾンギフト券の引き替えはすでに停止しており、全マイレージ会員2700万人に対してパスワードの変更を呼びかけている。
JALの対応についてセキュリティ研究者の高木浩光氏が2月3日、
「さも利用者が定期的に変更しないのが悪いかのごとく言っている。だが、数字以外、8文字以上の文字列を認めない、そんなものはパスワードじゃない。パスワード認証すらなかったと言うべき」
とツイッターで痛烈に批判した。パスワードを少ない桁の数字にすることの危険性について、「10年前にさんざん啓発してきた。今更知りませんでしたなどという言い訳は絶対に許してはならない」と憤慨している。
「JALマイレージバンク」にログインするには、「お得意様番号(9桁か7桁)」とパスワード(6桁)を入力する仕組みで、アルファベットなどは使用できない。数字だけの短いパスワードはセキュリティ上脆弱とされ、パスワード4桁の場合は全部で1万通り、6桁の場合は100万通りだ。携帯電話やATMは膨大な時間と労力がかかり全パターンを試すのは難しいが、ウェブサイトはコンピューターを用いれば、総当たり式にすべての数字を試すことができる。
高木氏は「リバースブルートフォースアタック」の可能性も指摘している。この手法はパスワードを固定した状態でIDを次々に変えて試していくので、サイトのアカウントロックで対処できない場合がある。パスワード変更の呼びかけについて「体系的に学ぶ 安全なWebアプリケーションの作り方」の著者・徳丸浩氏も「一応変更したけど、これでは効果がない可能性が高そう」とツイートした。
ANAは数字のみのパスワード4桁
不正ログインの方法については「あらゆる可能性を視野に入れて調査中です」(JAL広報担当者)というにとどまり、まだわかっていない。
サイトは「一定回数ログインに失敗するとロックがかかる設定」だと言い、「今後の対応については、今回の事例を踏まえ検討をして参ります」としている。
パスワードの桁数は当初は4桁だったが、2004年10月17日にセキュリティ強化のため6桁になったという経緯がある。そのときに数字とアルファベットの組み合わせにしなかったのは、
「携帯電話やスマートフォンからご利用のお客さまが多いことを考慮し、お客さまの利便性とセキュリティとの兼ね合い」
と説明した。
また、今回のJALの件に関連して全日本空輸の「ANAマイレージクラブ」もやり玉にあがった。パスワードは現在も数字のみの4桁で、高木氏はセキュリティの脆弱性を10年以上前から指摘していたという。
ANAではこうした被害は出ていないが、JALの事案を受けての今後の対応についてANA広報担当者は、
「不正アクセスに対する対応の重要性は認識しており、日々の監視に加え、新たなリスクに対しては適時対応を行っているため、問題はないと理解している」
と答え、数字4桁のログイン認証に関しては
「これまで同様、引き続きセキュリティ-強化の観点から様々な対策を検討し、実施していく」
としている。