ANAマイレージクラブでも不正アクセスによりマイルが盗まれる被害が発生 21
ストーリー by hylom
次はどこでしょうかね 部門より
次はどこでしょうかね 部門より
全日空(ANA)の「ANAマイレージクラブ」で不正アクセスが発生、マイルが盗まれる被害が発生した模様(朝日新聞、日経ITpro、ANAの発表)。
同様の事件として、日本航空(JAL)が運営する会員サービスである「JALマイレージバンク」のWebサイトに不正アクセスが発生し、顧客のマイルが盗まれる被害が発生していたが、その問題点として、ログインには数字7桁もしくは9桁の「マイレージ番号」を使用し、またパスワードは数字6桁でアルファベットなどを含めることができないという、同サイトの仕様が挙げられていた(過去記事)。
ANAマイレージクラブもJALマイレージバンクと同様、数字10桁の会員番号と数字4桁のパスワードを使用しており、数字4桁のパスワードの危険性はかねてから指摘されていた(JALマイレージWebサイトへの不正アクセスに関する高木浩光先生のつぶやき)。
平成の眠りを覚ます錠棄戦 (スコア:5, おもしろおかしい)
たった四けたで夜もねられず。
名前が悪い名前が (スコア:1)
パスワードじゃないよね。数字4桁は暗証番号だよね。
しかも変更するときにウェブだけで完結するって何か変じゃないかね。本人認証が出来てないよ。
Re:名前が悪い名前が (スコア:2)
パスワード変更画面のURLはpinchangeらしいです。確信犯。
Re:名前が悪い名前が (スコア:1)
日経ITは敢えてなのか、ANAのもJALのも「暗証番号」と表現して報道してますね。偉い。
Re: (スコア:0)
だいたい「参る」なんて名前も悪い
Re: (スコア:0)
マイレージなんて表現しているのはおおむね日本の航空会社とアメリカの航空会社の一部だけで
それ以外は基本的に「多頻度利用者プログラム」と呼ぶ
「発生していた」ではないの? (スコア:0)
> 同社によると、9日以降、会員4人から「覚えのない交換履歴がある」と連絡があり、
> 調査したところ他5人の被害を確認した。
被害者からの問い合わせを受けて調査し、初めて不正アクセスに気が付いたんだよね。
「他5人」と言うけれど、これはどうやって特定したのだろう。
正規パスワードでログインしているのに、なぜ「不正」だと言い切れるのか。
問い合わせがあった不正アクセスのアクセス元IPアドレスを調べたら、
そのIPアドレスから他に5つのアカウントへログインがあった、
ってことなんじゃないの。
だとしたら、他にも被害者がいる可能性があるよね。
調査したログの期間も気になる。
サーバには何日間のログを残しているのだろう。
例えばlogrotateを最大366日に設定していたら、それ以前の被害については
調査しようがないよね。
それは仕方ないけど、「過去何日間のログを調べて」は、公表して欲しい。
Re:「発生していた」ではないの? (スコア:2, おもしろおかしい)
公表なんて出来るわけない
ANAマイレージクラブだからといってセキュリティにANAがあったなんて言えないやん
今頃関係者はANAがあったら入りたいと思ってるはず・・・
パスワード複雑にするとサポートが困る (スコア:0)
ってこともあって、サポート窓口の脆弱性が出ちゃいますからねぇ。二ヶ月ぐらい連続でスルガ銀行のデビットカードの明細サイトのログイン失敗してサポートの手を煩わせました。
※AMCの暗証番号は「ナムコ」です。ウソ
先日PayPal Hereの契約したんですが、webで設定したパスワードがPayPal Hereのアプリケーション上で一般例外だしてログインできず、結局パスワードを変更することになりました(´・ω・`)
※サポートにパスワードは******です!っていうわけにもいかないしね。
Re: (スコア:0)
「緩いパスワードは不許可」ならそうなんですが、「緩いパスワードしか使用できない」という制限を課す必要はないと思うんですがね。
今回のケースのように後者をやってしまうと、緩いパスワードを設定したユーザーが悪い、という言い訳すらできなくなります。
Re: (スコア:0)
数字のみというのは電話でも認証するために必要な制限なんだよ。
Re: (スコア:0)
それでも桁を制限する必要はないし、電話では認証しないとかワンタイムパスワードにするなどの方法だってある。
それにパスワード再設定・再発行だって色々自動化出来る部分があるだろうに。
てか、他所はそういう運用してるんだし。
Re: (スコア:0)
電話認証用パスワードとWebログイン用のパスワードを強制的に一致させる必要は無いだろ
Re: (スコア:0)
その上、電話でしか出来ない裏技が多い。
混雑路線を含む乗り継ぎ経路を予約したけど、都合でキャンセル料を払ってでも、
その混雑路線以外の旅程を一部変更せざるを得なくなり。
Webではどうにも要領を得ないので電話したら、全部キャンセルののち取り直しの扱いになり、
混雑路線分は空席待ちキューが発生しているため、キャンセルして再予約の場合はキューの後ろに付けることになる。
結果、混雑路線分は取り直せない事態もあり得るのでちょっと待て、と言われて。
どうも、元の予約の席をブロックしてからキャンセル、キューに割り込む形で再予約、みたいな処理をやってくれたらしく、
無事、お願いしたとおりの「キャンセル料を払っての一部変更」に成功した。
スマホ用のANA公式アプリからVoIPでオペレータに繋げられるようにすれば良いと思うんだけど。
連絡が来ました (スコア:0)
メールのタイトルは、「【重要なお知らせ】「iTunesギフトコードへの交換サービス」一時停止と会員パスワード変更のお願い」でした。
一応変えましたけど、数字4桁だから気休めだよなあ。
Re:連絡が来ました (スコア:3, おもしろおかしい)
Q:AMCパスワード変更のお願いを見ましたが、逆総当たり攻撃に対して安全性を担保するにはどの程度の頻度でパスワード変更が必要でしょうか?
A:今後調査を進め、早急にセキュリティ強化を図ってまいりますが、会員の皆様には安心してサービスをご利用いただくため、頻繁にパスワードの変更手続きをお願いいたします。
_人人人人人人人人人人人人人人人人人人人人人人人_
> 頻繁にパスワードの変更手続きをお願いいたします。 <
 ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^^Y^Y^Y^Y^Y^Y ̄
Re: (スコア:0)
言われるままに頻繁に変えていたら偶然0000とか1234になった時に攻撃くらったので悪いのはANAです!
Re:連絡が来ました (スコア:2)
んでそのパスワード設定画面に
数字4桁 例:0123
って冗談みたいですね.
Re:連絡が来ました (スコア:1)
実際には使えない文字列を例として載せておくのは、設定手順をそのままトレースして
うっかりと例のそのまま設定しちゃった、ってのを防止できて良いんではなかろうか。
#0123が使えないようになっているかは分からんが
Re:連絡が来ました (スコア:2)
使えるようです。https://twitter.com/ockeghem/status/443144813815160832 [twitter.com]
そのままの仕様でまだ動いている (スコア:0)
ということは...
お前ら絶対押すなよ!