JALが携帯電話を使わない二段階認証を採用

あるAnonymous Coward 曰く、　先日、JALマイレージバンクでの不正アクセス事件が発生した日本航空（JAL）。ログインIDとして数字7桁もしくは9桁の「マイレージ番号」を使用し、パスワードは数字6桁という仕様がセキュリティ的に脆弱だとの指摘があったが、これを改善するためか、同サイトに新たな「二段階認証」が採用された（JALの発表）。

　一般的には二段階認証というと、ログイン時に携帯電話/スマートフォンなどにSMSなどでメッセージを送信させ、そこに記載されている認証コードをユーザー名やパスワードとともに入力することでより強固なセキュリティを実現する、というものだが、JALが採用した二段階認証は「一部機能のご利用時に生年月日を入力させる」というものになっており、セキュリティの向上にあまり寄与しないものになっている。

　本人確認のために生年月日を使用するのはよろしくない、というのは数年前からすでに言われていることだが、まさに斜め上の「二段階認証」を採用したJALのセキュリティ意識はどうなっているのか、逆に気になるところである。

　なお、ITmediaによるとJAL側は「これが最終形ではない。引き続き、セキュリティ強化を順次、行っていく」と述べているそうだ。また、この「二段階認証」が必要となるのは一部の機能のみで、ログインに成功すれば氏名の確認はできるほか、予約画面で生年月日を元に計算された年齢が表示されてしまうため、そこから生まれた年については推測できてしまう模様（Togetterまとめ）。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
ANAマイレージクラブでも不正アクセスによりマイルが盗まれる被害が発生 2014年03月11日
JALマイレージバンク、不正アクセスによりマイルが盗まれる被害 2014年02月04日
Apple IDのパスワードを生年月日だけでリセットできる脆弱性が見つかる 2013年03月23日