JALマイレージバンク、不正アクセスによりマイルが盗まれる被害 107
ストーリー by hylom
手口が発覚してからのコメントを待ちたい 部門より
手口が発覚してからのコメントを待ちたい 部門より
あるAnonymous Coward 曰く、
日本航空 (JAL) は3日、同社が運営する「JALマイレージバンク (JMB)」サイトへの不正ログインが判明し、第三者がマイルを特典に交換するトラブルが多数発生していたことを発表した(JALのプレスリリース、ITproの記事、ITmediaの記事)。
報道によると、1月31日から2月2日までに7人の会員から「自分のマイルが意図せず引き落とされている」という被害報告が寄せられており、調査したところ第三者のログインによる「Amazonギフト券」への交換が発覚したという。攻撃を受けた可能性のある会員は60名ほどと見られており、JAL側では事実確認を進めるとともに、交換サービスの停止や会員にパスワードの変更を呼びかけるなどの対応を進めている。
……と、ここまでであればよくある不正アクセス事件の一つでしかないのだが、JMBサイトへのログインには数字7桁もしくは9桁の「マイレージ番号」を使用し、またパスワードは数字6桁でアルファベットなどを含めることができないという、極めて脆弱な仕様になっていることが話題となっている。同社はこの仕様について脆弱だとは考えていないとコメントしており、この仕様を変更することは検討していないという。さらにライバルである「ANAマイレージクラブ」も同じくパスワードを数字4桁に制限しているそうだ。
この仕様に対してセキュリティ専門家の高木浩光氏は、「JALとANAには10年以上前に抗議した」と述べるとともに、「通常のリスト型攻撃であれば不正ログインされたサイトの運営者に非はないが、本件については全面的にANAとJALに責任がある」とコメントしている(togetterまとめ)。
確かに (スコア:3)
以前から確かにユルいパスコードだとは思っていたんですが…6桁ですと、yymmddでちょうど6桁。生年月日をパスコードにしている方も多いのではないでしょうか。
私も先ほど変更しました(遅いよ>自分)
死して屍、拾う者なし。
こういう時に痛感するんだけど (スコア:2, 参考になる)
ひろみちゅセンセ,やっぱ優秀だわ.
あれで噛み付き方がもう少し大人だと,すげー立派なんだけどな…
Amazonギフト券はどこへ? (スコア:1)
素朴な疑問として、交換されたAmazonギフト券はどうなったんですか?
コード番号かなんかが表示されて、侵入者のものになったの?
(だったらすぐ犯人つかまりそうな)
それとも元のポイントのオーナーのもののままなの?
(だったらそれほど損してないような)
Re:Amazonギフト券はどこへ? (スコア:2, 参考になる)
JALはAmazonのサイト上にある10000円券ジェネレータに飛ばす
Amazonはそのジェネレータサイトで10000円ギフト券のIDを発行
JAL側には発券したと報告
JALは発券されたことを確認してポイント減額
って仕組みだった記憶があるので、JAL側は発券されたKeyなどを知らず
Amazon側も、どのJAL会員から減額されたかを知らない。
さらに言うとAmazon内部でも、どのギフト券が誰によって発行されたか、誰に使われたか。
を追跡していないんじゃないだろうか?
# 他のEdyとかだと、すぐに犯人が捕まるが
# 犯人を特定しにくい方法としてAmazonギフト券を選択したのだと思われる。
数字4桁→数字6桁 (スコア:1)
つまりユーザーに最も人気のパスワード「123456」を設定できるように桁数が増やされたのですね。
ユーザー目線に立った素晴らしい改善ですね(棒
なぜにANAJAL? (スコア:0)
高木浩光氏は、「・・・全面的にANAとJALに責任がある」
ANAは今回は関係ないのでは?
高木先生コメント全文 (スコア:4, 参考になる)
タレコミ者です。原文はこんな感じ [twitter.com]なので、そこは「本件については」ではなく「本件のような事例については」とすべきでした。失礼しました。
Re:なぜにANAJAL? (スコア:1)
ANAが4桁の実装を固持したため、
JALに「競合他社と比較して強固であるため改善の必要なし」と誤った判断をさせた責任。
Re: (スコア:0)
ANAにとっちゃええ迷惑やな
Re:なぜにANAJAL? (スコア:1)
ANA「もー、マイルなあ」
Re:なぜにANAJAL? (スコア:1)
あな がち変な指摘ではない。
いままで、な あな あにしていたのだから。
Re:なぜにANAJAL? (スコア:1)
ANAだけに穴を放置?
Re: (スコア:0)
JAL「どうしてウチより脆弱な方を狙わなかったんだ!」
Re: (スコア:0)
コピペ的にはこうですね
Re: (スコア:0)
これでANA側には被害が全く無かったとしたら、それはそれでなぜなのか気になる。
不審な連続アクセスを弾く仕組みなんかをJAL以上にきっちり作り込んでいた、とか?
そういや、
・何も対策されておらず同じIPアドレスから1秒間に100回でも1000回でもログイン試行が出来る、パスワードが英数字N文字のサイト
と
・正当なユーザには全く気付かれない範囲で不正なログイン試行の繰り返し等は徹底的に弾く仕組みを導入した、パスワードが数字4桁のサイト
の安全性が同じぐらいになるNってどれぐらいなんだろ?
攻撃者が使えるボットネットの規模の想定とか、前者の応答速度とか色々と考えなきゃいけないパラメータは多いけど。
数字だけの場合、何桁ならOK? (スコア:0)
数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。
初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]
変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]
Re:数字だけの場合、何桁ならOK? (スコア:5, 参考になる)
数字英字大小区別記号可で、93種使えるそうですので、
8文字パスワードの組み合わせ総数は
93^8≒5.6e+15
よって数字のみでも16桁あれば、とりあえず同等以上と言える。
Re:数字だけの場合、何桁ならOK? (スコア:1)
逆に英数記号だと、93^2=8649と言う事で、
数字4桁は英数記号2桁分程度の性能という事に。
TomOne
Re: (スコア:0)
よって数字のみでも16桁あれば、とりあえず同等以上と言える。
なるほど。
ちなみにカブコムのメインパスワードは英数字6桁~16桁で設定でき、店頭FX携帯用パスワードは英数字6~15桁だけど入力しやすい数字のみの設定を推奨で、記号は使えません。
Re:数字だけの場合、何桁ならOK? (スコア:3, 参考になる)
> 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度に
しようとすると、
log(26+26+10)*8/log(10)≒14.3
ですから、14文字では足りず、15文字必要ということになりますね。
#英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…
Re: (スコア:0)
今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…
1234のような辞書に載っている単語もあるのでそういうものは禁止して。
Re:数字だけの場合、何桁ならOK? (スコア:1)
一定期間中に連続して間違えてたらユーザに通知して困ってるのか尋ねるくらいしないとダメでしょうね。
>1234のような辞書に載っている単語もあるのでそういうものは禁止して。
大昔から初期値が誕生日MMDDになってたそうで、そこがまずダメだろうね。
パスワード変更作業が楽にできるようになってればいいけど、そうでなければ面倒で変えないユーザが多いだろうし。
こっちも一定期間中にlogin & パスワード変更が無ければユーザに通知して変更を促すとかしないとダメだと思う。
リバースブルートフォース (スコア:0)
高木センセイが指摘しているリバースブルートフォースという手口ですが、これは
「一つのパスワード」に対して「複数のID」を順番に試すという手口です。
ので一つのIDについて何回かパスワード間違えたらロックという手法では防げません。
やるとしたら、「同じIPアドレスから連続して複数のIDでのログイン試行があったら、そのIPアドレスをブロック」とかでしょうか?
Re:リバースブルートフォース (スコア:4, 興味深い)
ボットネットとかを使えば IP も 10万種類ぐらいまでは調達できるので
同一IPから1000回までのアクセスを許したとして
1000回×IP10万種類×安全係数1000=10^11ぐらいのバリエーションが
パスワードにないと不味くて、数字11桁は欲しいところですね。
もっとも、大規模マンションのNATゲートウェイとか、
総合大学のプロキシとか、一つのIPに数千人ぶら下がっているケースも
あるので1日1000回までとかにすると一部のIPを手動で解除しなければ
いけなくなったりしてなかなか面倒なことに。
Re: (スコア:0)
企業内からの接続とか、ケーブルテレビとかで複数のクライアントが同一IPにいるケースや、
モバイルでIPを移動しながら試行するケースが対応できません。
特にモバイルは、大量のクライアントが同じIP内に居るだけでなく
個々のクライアントはIPを移りわたっていくのでタチが悪い。
Re:数字だけの場合、何桁ならOK? (スコア:1)
徳丸さんが紹介している「安全なウェブサイトの作り方改訂第6版」のグラフが分かりやすい。
数字 15 桁で、英数記号大文字小文字の8文字程度、らしい。
ANAは (スコア:0)
デフォルトパスワードが誕生日なので、とりあえず366通りを試すのが手っ取り早い。
Re: (スコア:0)
別に誕生日決め打ちしなくても、
10億×1万=10兆通りを試すだけで、全会員のIDとPSが取得できるのでは?
Re: (スコア:0)
1230まではいったのだが
Re:ANAは (スコア:2)
高々0~366のハズなので、間違って入力している気がする。
Re:ANAは (スコア:1)
えっ、うちの番地出されても
Re:ANAは (スコア:1)
この大馬鹿者!ってレスするようなおっさんはもういないんだよ
老兵は去ろうぜ
Re: (スコア:0)
1230まではいったのだが
12月が31日までしかないって誰が決めたの?
#ってひと多いよね。
Re: (スコア:0)
12月が31日までしかないって誰が決めたの?
デスマ出産。
Re: (スコア:0)
しょうがないのでブルートフォースに切り替えました。
なぜ最初からそれをやらんのだ
Re: (スコア:0)
認証画面突破できなかったのでPCかスマホか携帯か固定電話機壊したんですねw
やべー (スコア:0)
365だろwってツッコミそうになった。
Re:やべー (スコア:1)
盗んでも使えないじゃん (スコア:0)
ウッヒッヒ、盗んだJALマイルでファーストクラスの航空券買ったんで、これからハワイだ。
てな馬鹿だったらニュース読むのが楽しそうだな。
Re: (スコア:0)
マイルはなんだかんだと他のポイントに変換できます。
私の使っている航空会社のマイレージは最終的にはキャッシュまでいけますよ。海外出張が高頻度だったので、結構なお小遣いです。
Re:盗んでも使えないじゃん (スコア:2)
どこまでポイントロンダリングすれば特定されなくなるのかな?
いっそ漢字パスワードはダメなのか (スコア:0)
桁少なくても耐クラック性は数字オンリーよりは高そうに思うけど
まあ、安易に名前入れて辞書攻撃に合う確率は高そうですが
Re:いっそ漢字パスワードはダメなのか (スコア:1)
どうやって入力結果を見ずに変換するかが問題でしょうね。
#或いはいっそIMEを使わずに変換する方法を発明して下さい。
Re:いっそ漢字パスワードはダメなのか (スコア:1)
変換内容を確定するまでは入力中の様子を表示するIMEが一般的ではないかと。
それから、最近は type="password" な欄の入力内容を表示できるブラウザが増えつつあるので、心配は過去のものになるでしょう。
Re:いっそ漢字パスワードはダメなのか (スコア:1)
筆跡が画面に表示されない特殊な手書きIMEとか?
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re: (スコア:0)
>そんなところのサービス使っているヤツに責任がある。
寝言は寝てから言ってくれ
国内資本で国際航空輸送網を持つ航空会社はこの2社しかないんだから
広範な海外出張がある以上このどっちかのマイレージ会員にはなるしかないんだよ
#企業向け大口割引契約を利用して航空券を手配する場合、個々の搭乗者はマイレージ会員になっている必要がある。
#国内LCCの国際線は仁川や釜山にしか飛んでいないので役に立たない
Re: (スコア:0)
> 寝言は寝てから言ってくれ
> 国内資本で国際航空輸送網を持つ航空会社はこの2社しかないんだから
> 広範な海外出張がある以上このどっちかのマイレージ会員にはなるしかないんだよ
そういうなら脆弱であるリスクを背負っていればいいんじゃないの?
Re:え? (スコア:1)
サイバーノーガードはネタとしてももう古い。
# 過失の放置を公開してたら免責なんてなー。
# IPAにセキュリティ情報乗っかったら対処しなくてもいいんだ(w
スルースキル:Lv2
Keep It Simple, Stupid!
Re:え? (スコア:2)
リスクがあるから使わないって選択があるのに、リスクがあっても使っておいて、そのリスクは誰の責任もねーよ!
つかわなきゃいい!
Re:え? (スコア:2)
ちなみに私は危険なインターネットサービスは便利でも使わない。