セキュリティに対する意識が ANA だらけでまるっきり JAL だった | 日刊ポスたま

セキュリティに対する意識が ANA だらけでまるっきり JAL だった | 日刊ポスたま

日刊ポスたま
pla0020-001
みなさん、こんにちは。座布団と幸せを運ぶ内田でございます。

JAL が不正アクセスを報告した日は、奇しくも政府が先月定めた「サイバーセキュリティの日(2/3)」。JAL の報告によると、同社が運営する「JAL マイレージバンク(JMB)」の会員 Web サイトへの不正ログインが判明し、JMB 会員になりすました第三者がマイルを特典に交換するトラブルが多数発生していた。約 60 人が被害を受け、約 2,700 万人の会員にパスワード変更を依頼した。

危険視されていた脆弱性

JAL のパスワードは、数字 6 桁。ANA に至っては数字 4 桁しかない。セキュリティ研究者の高木浩光さんは、10 年も前にいわゆる「リバースブルートフォース攻撃」に対して弱過ぎると抗議していたようだ。この抗議により、JAL は数字 4 桁から数字 6 桁に変更、ANA は改善しなかった。

いわゆる「リバースブルートフォース攻撃」に関しては、徳丸本の著者として知られる徳丸浩さんが簡潔なツィートで説明してくれている。

パスワードが短いのは利便性のため?

こちらの記事によると、JAL のパスワードが短いのは「大半の会員が携帯電話やスマートフォンを利用しており、入力時に負担をかけないよう配慮していたため」と利便性を理由に挙げている。同社にはパスワードが脆弱という認識が無く、桁数を増やしたりアルファベットなどの文字種を増やすことは検討していないという。(後に訂正、「原因の特定を急ぐとともに、パスワードの方法を含めて今後の対応を検討していきたい」としている)

前述の徳丸浩さんによると、数字のパスワードで英数字記号 8 桁のパスワードと同じ安全性を保つには 16 桁が必要なのだそうだ。

パスワードを変更しろと言われても…

JAL は「影響拡大を未然に防ぐため、全会員を対象としたパスワード変更をお願いする」としている。しかし、パスワードを変更して効果があるのは「パスワードリスト型攻撃」に対してであって、いわゆる「リバースブルートフォース攻撃」に対してではない。

何故か東京都知事選で争点にされてしまっている原発問題と同様、問題を先送りにしても何ら解決しない。航空機業界は「セキュリティに対する意識が ANA だらけでまるっきり JAL だった」と揶揄されないよう抜本的な対策が求められている。JMB 会員だけで約 2,700 万人と巨大なサービスを提供しているだけに、今後の対応が注目されるだろう。

この記事が気に入ったら
いいね ! をお願いします

Twitter で

日刊ポスたま(休刊)カテゴリの最新記事