ANAの不正アクセスで「もう一度考えたい」パスワードのはなし(その1)
先日のJALに続き、ANAも不正アクセスにより、勝手にマイレージの交換等が行われていたようです。貯めたマイルがなくなってしまうことも問題ですが、交換できる(ログインしている)状態では、 搭乗記録はもちろんのこと、会員の住所含めた登録情報までも見たり、変更できたりと、本人と同じことが出来てしまいます。ログインした状態なので「当たり前」のことですが。。。
ANAマイレージクラブに不正ログイン マイルをiTunesコードに不正交換される被害
ANAマイレージクラブは、10ケタのマイレージ番号と、数字のみ4ケタのパスワードの組み合わせでログインでき、ログインすると氏名や住所、電話番号など登録情報の確認も可能だ。再発防止策として同社は、パスワードの強化を含む恒久的な対策を検討するとしている。
先日のJAL(「JALマイレージバンク」不正ログイン問題、数字のみパスワードの強化策を「検討中」)は、強化策を考えているようですし、、今回のANAも同じようになるでしょう。
ここ最近パスワード漏洩系の事件が多発しています。洩れた(フィッシングなどは漏らしてしまった)パスワードで、不正にアクセスされてしまった。。。文字で書けば「こうなります」が、カギを無くして、盗られて、入られたと考えれば、カギをかけることが必要な場所(書庫とか家ドアなどなど...)と変わりません。物理カギと文字パスワードの違いだけです。
南京錠とカギ、ログインとパスワード、ハンバーガーとポテト。。。必ずセットで使われます。カロリーが高いので、ポテトは食べないようにしています(笑) 南京錠とカギは、それを使う場所によって「その重要性」はかわります。例えばスーツケースに使う場合と、もっと厳重なところなどです。場所は変わっても、そのカギが使える南京錠は1個しかありません。
一方でログインとパスワードは、ログインする場所(PCの起動時、サイトの認証等)によって、パスワードが違うはず(セキュリティ上よろしくありませんが同じかも知れません)
今回のケースで考えると、サービス提供者と利用者になります。不正にアクセスされた場合、どうにも回避できないのが、先のパスワード漏洩系です。ごっそり持って行かれているので、組合せはバレバレです。この場合サービス提供側に問題があります。
今回は漏洩系ではないようですが、パスワードを数字の4-6桁で使うのならば、もう少し考えた方がいい。しかし、数字パスワードの利点は、電話機などの数字だけ端末でも使える事です。どちらかと言えば、利用者に合わせた形だと思います。本当はフルキーボード入力のようなことをさせたいのでしょうが、利用者のセキュリティ意識が追いついていません。1234とかのパスを使っていても、こんな事件が起きれば大騒ぎになります。
サービス提供者は、セキュリティ意識の低い利用者であっても、パスワード管理は自己責任ということで、利用者を選びません。これ別なサービス、例えば仕事上取引先と共同で利用するネットサービスのパスワードならば、セキュリティ意識が低いのですみません。。。とはならないでしょう。利用者を選ぶこと(取引企業の選別)をしますよね。
利用者は、漏洩系の場合、サービス提供者を選ぶ(変える)ことくらいしかできません。漏洩系でない場合は、パスワードの選定も、管理も自己責任において行われます。忘れない数字パスワードが中々思いつかないので、つい安易なものに走りがちです。それらは「他の場面」でも利用していたりするので、バレる可能性が高くなります。
パスワードは、個人情報を守ってくれる砦でも何でもない。いまやどんな人のパスワードも簡単に手に入るようになり、パスワードの時代は終焉を迎えた。US版『WIRED』のシニア・ライターを務める筆者は、Twitterをはじめとする、ありとあらゆるアカウントをハックされ、子どもとの思い出の写真から仕事の記録、信頼から名誉まですべてを失った。わたしたちは、デジタルの世界で自分の身を守れるのか?(本誌『WIRED』VOL.8より転載)
昨年の夏の記事ですが、バレてるものと認識しなければなりません。
サービス提供者、利用者ともに考えなければなりません。どうもパスワードの話を何度しても、向上していかない場面を多く見ます。
よくブログにも書きますが、家ドアに数字キーがあって、4-6桁の数字さえ入れればドアが開くとすれば、利用者側も少しは考えると思うのですよ。その番号突破されれば、ドア開きますから・・・
パスワード関連の過去ブログ:
ヤフーのパスワードと秘密の質問流出を機会に「改めて自分のパスを見直す方法」
パスワードを忘れてしまった時の「秘密の質問」を誰にもわからない答えにする方法
パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!
数字パスワード以外にも共通しますが、パスワードの具体的な作り方や、管理方法等の、実用的なことを伝えないままに、パスワードを強化!とか、無理な話です。強化するための方法を知らなければ、なにもはじまりません。
自分で管理することが出来る「唯一の砦」として、パスワードの見直しをして下さい。それしか出来ないのですから・・・