JALマイレージバンク、不正アクセスによりマイルが盗まれる被害

あるAnonymous Coward 曰く、　日本航空 （JAL） は3日、同社が運営する「JALマイレージバンク （JMB）」サイトへの不正ログインが判明し、第三者がマイルを特典に交換するトラブルが多数発生していたことを発表した（JALのプレスリリース、ITproの記事、ITmediaの記事）。

　報道によると、1月31日から2月2日までに7人の会員から「自分のマイルが意図せず引き落とされている」という被害報告が寄せられており、調査したところ第三者のログインによる「Amazonギフト券」への交換が発覚したという。攻撃を受けた可能性のある会員は60名ほどと見られており、JAL側では事実確認を進めるとともに、交換サービスの停止や会員にパスワードの変更を呼びかけるなどの対応を進めている。

　……と、ここまでであればよくある不正アクセス事件の一つでしかないのだが、JMBサイトへのログインには数字7桁もしくは9桁の「マイレージ番号」を使用し、またパスワードは数字6桁でアルファベットなどを含めることができないという、極めて脆弱な仕様になっていることが話題となっている。同社はこの仕様について脆弱だとは考えていないとコメントしており、この仕様を変更することは検討していないという。さらにライバルである「ANAマイレージクラブ」も同じくパスワードを数字4桁に制限しているそうだ。

　この仕様に対してセキュリティ専門家の高木浩光氏は、「JALとANAには10年以上前に抗議した」と述べるとともに、「通常のリスト型攻撃であれば不正ログインされたサイトの運営者に非はないが、本件については全面的にANAとJALに責任がある」とコメントしている（togetterまとめ）。

　スラッシュドットのコメントを読む | セキュリティセクション | 日本 | 犯罪 | セキュリティ | 交通

　関連ストーリー：
「最悪なパスワード」、2013年版トップは「123456」 2014年01月22日
総務省が「パスワードを定期的に変更する」とのセキュリティ対策を推奨したことが議論に 2013年12月20日
みずほ銀のネットバンキングサービスで登録アドレスを携帯メールに変更するよう呼びかけ 2013年11月26日