JALマイレージバンクについて個人的まとめと雑感
このようなニュースがありました。
「JALマイレージバンク」に不正ログイン、マイル盗む 数字のみパスワードの強化策は「検討していない」
以下は記事の引用です。
同社はメールとWebサイトを通じ、全ユーザー2700万人にパスワードの変更を依頼。JALマイレージバンクのパスワードは数字6ケタだが、数字だけのパスワードが脆弱という認識は「ない」(同社広報部)としており、ケタ数を増やしたりアルファベットを加えるなどの強化策は「検討していない」という。
割と衝撃的な回答ですね。
ちなみに各社のポリシーは以下の通りでした。
・JAL
半角数字6桁・ANA
半角数字4桁・ソラシドエアー
6文字以上12文字以内で、半角英数のみ・スターフライヤー
半角数字4〜8桁
*全て同じ数字は利用できない。・AIR DO
数字のみの場合8文字以上20文字以下、英数字の場合6文字以上20文字以下・スカイマーク
サービスなし?
Splash Dataというところが発表した2013年のよく使われる脆弱なパスワードランキングによると「123456」が1位のようですのでこれでリバース攻撃を行なわれたらJALは6桁数字パスワードだし… と思っていたのですが実際にパスワード変更にて確認してみたところ「123456」は設定できませんでした。改めて別ページにあった「パスワードに使用できない組み合わせ」を確認したら以下のような制限があるようです。
(1) 生年月日(西暦・元号とも)
(2) 電話番号
(3) 住所の数字部分
(4) 111111などの連続する同じ数字
(5) 123456などの連続する数字
(注)(4)以外は、順序を逆にしたパターンも使用できません。
しかし、よく使われる脆弱なパスワード11位の「123123」は設定可能でした。
連続する数字に関しても確認してみたところ「111112」というものは設定可能であったため連続する数字というのは6桁すべてが同じものという意味のようです。ちなみに「123451」も可能でした。
このルールを事前に調べておけばそもそも使えないパスワードが分かりますので、攻撃者はその他の弱そうなパスワードを試そうという思考になり実際に試す候補が絞り込めとも考えられなくもないですね。
また、JALはパスワードについてこのようなページも用意しています。
以下は引用です。
パスワードは、個人情報および積算マイルの保護のため、定期的に変更することをお勧めいたします。またパスワード変更時には、生年月日、電話番号、連続する同じ番号等、推測されやすい番号はご使用にならないようご注意ください。
少し拡大解釈しすぎかもしれませんが、今回のパスワードの強化策を講じないということ、数字のパスワードは脆弱という認識は無いということから考えると、あくまで責任はユーザにあると言っているようにも取れます。
もちろん、弱いパスワードを設定しまうことに関しては一部ユーザの責任であると考えることもできますが、その前に設定できるパスワードの自由度を上げることがサービス提供側の責任でもあるのではないでしょうか。数字6桁のみとなると脆弱なパスワードを設定することを誘発していると考えることもできます。
ただ、数字のみのパスワードというのには理由があるだと思います。
例えば電話での予約や確認サービスの利用などでしょうか。
ただ、電話予約やその確認のためなどに数字6桁のみのパスワードというものを残さないといけないというのであれば、Webログインやその先にできるものは別のものにするか、二要素(段階)を導入して欲しいと思います、
とはいえ、今すぐシステムをどうにかということは現実的に無理だとは思います。
だから、「数字だけのパスワードが脆弱という認識は「ない」」などと言わず、10年以上前から多くの方が指摘されてきたことであるということを受け止めて、これをよい機会とし、今後のセキュリティ強化に努めていく一歩を踏出していただきたいと強く思います。もちろん、JALだけではなくです。
【おまけ】
Wikipedia – JALマイレージバンク の 概要の項目を見るとお得意様番号にはある程度の規則性のようなものがあるようですね。
【2014/02/05追記】
紹介したITmediaの記事に追記がありました。
2月4日午後8時50分追記
その後の取材に対してJAL広報部は、「パスワードの方法を含めて今後の対応を検討していきたい」と話した。
とのことで新たに記事も追加されていますね。
JALマイレージバンクの不正ログイン、セキュリティと利便性のバランスが問題に?
今後、各社安心、安全に繋がる対応に期待です。