JAL不正ログイン、セキュリティに問題？　数字のみ6桁パスワードは「甘すぎる」のか

   日本航空の運営する「JALマイレージバンク」会員サイトに不正ログインがあり、会員のマイルをアマゾンギフト券に勝手に交換された問題で、サイトの不正アクセス防止策に問題があったのではという指摘が出ている。

   会員サイトのパスワードは数字のみの6ケタしか設定できず、アルファベットを含めることができないため、セキュリティが脆弱だった可能性がある。

セキュリティ研究者「そんなものはパスワードじゃない」

   同社によると、2014年1月31日から2月2日にかけ、「身に覚えのない特典交換でマイルが引き落とされている」という相談がJALのコールセンターに寄せられ、調査したところアマゾンギフト券が不正に交換されていることがわかった。

   4日現在で40人が被害に遭ったことが確認され被害額は200～300万円ほど。その一部が使われたという。アマゾンギフト券の引き替えはすでに停止しており、全マイレージ会員2700万人に対してパスワードの変更を呼びかけている。

   JALの対応についてセキュリティ研究者の高木浩光氏が2月3日、

「さも利用者が定期的に変更しないのが悪いかのごとく言っている。だが、数字以外、8文字以上の文字列を認めない、そんなものはパスワードじゃない。パスワード認証すらなかったと言うべき」

とツイッターで痛烈に批判した。パスワードを少ない桁の数字にすることの危険性について、「10年前にさんざん啓発してきた。今更知りませんでしたなどという言い訳は絶対に許してはならない」と憤慨している。

   「JALマイレージバンク」にログインするには、「お得意様番号（9桁か7桁）」とパスワード（6桁）を入力する仕組みで、アルファベットなどは使用できない。数字だけの短いパスワードはセキュリティ上脆弱とされ、パスワード4桁の場合は全部で1万通り、6桁の場合は100万通りだ。携帯電話やATMは膨大な時間と労力がかかり全パターンを試すのは難しいが、ウェブサイトはコンピューターを用いれば、総当たり式にすべての数字を試すことができる。

   高木氏は「リバースブルートフォースアタック」の可能性も指摘している。この手法はパスワードを固定した状態でIDを次々に変えて試していくので、サイトのアカウントロックで対処できない場合がある。パスワード変更の呼びかけについて「体系的に学ぶ 安全なWebアプリケーションの作り方」の著者・徳丸浩氏も「一応変更したけど、これでは効果がない可能性が高そう」とツイートした。