JALマイレージバンクへの不正ログイン
また残念な事件がありました。
JALの告知
ITmediaの記事2本:
「JALマイレージバンク」に不正ログイン、マイル盗む 数字のみパスワードの強化策は「検討していない」
(タイトルは変わっていませんが、本文に「パスワードの方法を含めて今後の対応を検討していきたい」と追記されています。)
JALマイレージバンクの不正ログイン、セキュリティと利便性のバランスが問題に?
僕もJALマイレージバンクのIDを持っています。幸いにして、自分のIDは不正ログインされたわけではないようです。でも、JALの対応には不満そして不審があります。
今回の告知では、「お客さまの意図しない交換がなされたケースを確認したため当該特典交換サービスの停止」の知らせと、パスワード変更のお願いのみです。調査中とは言え、なぜパスワード変更が必要なのかわかりません。また、なぜ特定の交換サービスのみ停めているのかもわかりません。
上記記事によると、不正ログインの可能性は60ユーザーだそうです。パスワードが漏れたなら、こんな件数ですむはずがありません。JALマイレージバンクのパスワードは6桁の数値ですから、総当たり攻撃が容易です。同攻撃はログからすぐにわかるはずですから、そうではないのかもしれません。総当たり攻撃ならば、パスワードを変えても無駄なだけに気になります。
専用ダイアルに聞いたところ、窓口の担当者がかわいそうなくらい、何もわかっていないことになっています。もう一週間なのに。
ところで、同業他社のANAマイレージクラブはもっとすごくて、パスワードが4桁の数値です。パスワードが容易なシステムは、せめて数回ログインに失敗したらロックする仕組みにしておいてほしい。僕はこちらも会員です。