パスワードを忘れた? アカウント作成
10624869 story
交通

JALマイレージバンク、不正アクセスによりマイルが盗まれる被害 107

ストーリー by hylom
手口が発覚してからのコメントを待ちたい 部門より
あるAnonymous Coward 曰く、

日本航空 (JAL) は3日、同社が運営する「JALマイレージバンク (JMB)」サイトへの不正ログインが判明し、第三者がマイルを特典に交換するトラブルが多数発生していたことを発表した(JALのプレスリリースITproの記事ITmediaの記事)。

報道によると、1月31日から2月2日までに7人の会員から「自分のマイルが意図せず引き落とされている」という被害報告が寄せられており、調査したところ第三者のログインによる「Amazonギフト券」への交換が発覚したという。攻撃を受けた可能性のある会員は60名ほどと見られており、JAL側では事実確認を進めるとともに、交換サービスの停止や会員にパスワードの変更を呼びかけるなどの対応を進めている。

……と、ここまでであればよくある不正アクセス事件の一つでしかないのだが、JMBサイトへのログインには数字7桁もしくは9桁の「マイレージ番号」を使用し、またパスワードは数字6桁でアルファベットなどを含めることができないという、極めて脆弱な仕様になっていることが話題となっている。同社はこの仕様について脆弱だとは考えていないとコメントしており、この仕様を変更することは検討していないという。さらにライバルである「ANAマイレージクラブ」も同じくパスワードを数字4桁に制限しているそうだ。

この仕様に対してセキュリティ専門家の高木浩光氏は、「JALとANAには10年以上前に抗議した」と述べるとともに、「通常のリスト型攻撃であれば不正ログインされたサイトの運営者に非はないが、本件については全面的にANAとJALに責任がある」とコメントしている(togetterまとめ)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 私は昨年末に期限切れになるマイルが多かったので、商品券などに変えてしまいました。

    以前から確かにユルいパスコードだとは思っていたんですが…6桁ですと、yymmddでちょうど6桁。生年月日をパスコードにしている方も多いのではないでしょうか。

    私も先ほど変更しました(遅いよ>自分)
    --
    死して屍、拾う者なし。
  • by Anonymous Coward on 2014年02月05日 5時14分 (#2539571)

    ひろみちゅセンセ,やっぱ優秀だわ.
    あれで噛み付き方がもう少し大人だと,すげー立派なんだけどな…

  • by Anonymous Coward on 2014年02月04日 20時00分 (#2539393)

    素朴な疑問として、交換されたAmazonギフト券はどうなったんですか?

    コード番号かなんかが表示されて、侵入者のものになったの?
     (だったらすぐ犯人つかまりそうな)
    それとも元のポイントのオーナーのもののままなの?
     (だったらそれほど損してないような)

    • by Anonymous Coward on 2014年02月05日 11時56分 (#2539735)

      JALはAmazonのサイト上にある10000円券ジェネレータに飛ばす

      Amazonはそのジェネレータサイトで10000円ギフト券のIDを発行
      JAL側には発券したと報告

      JALは発券されたことを確認してポイント減額

      って仕組みだった記憶があるので、JAL側は発券されたKeyなどを知らず
      Amazon側も、どのJAL会員から減額されたかを知らない。
      さらに言うとAmazon内部でも、どのギフト券が誰によって発行されたか、誰に使われたか。
      を追跡していないんじゃないだろうか?

      # 他のEdyとかだと、すぐに犯人が捕まるが
      # 犯人を特定しにくい方法としてAmazonギフト券を選択したのだと思われる。

      親コメント
  • by Anonymous Coward on 2014年02月05日 5時29分 (#2539573)

    つまりユーザーに最も人気のパスワード「123456」を設定できるように桁数が増やされたのですね。
    ユーザー目線に立った素晴らしい改善ですね(棒

  • by Anonymous Coward on 2014年02月04日 18時57分 (#2539323)

    高木浩光氏は、「・・・全面的にANAとJALに責任がある」
    ANAは今回は関係ないのでは?

    • by Anonymous Coward on 2014年02月04日 19時11分 (#2539342)

      タレコミ者です。原文はこんな感じ [twitter.com]なので、そこは「本件については」ではなく「本件のような事例については」とすべきでした。失礼しました。

      通常のリスト型攻撃であれば、不正ログインされたサイトの運営者に非はない(漏洩させたサイトが悪い)と言うべきと、これまで多くの専門家が啓発してきた。だが、ANAとJAL、お前たちはだめだ。完全にお前たちに責任があるのであり、全ての損害を補償し、賠償し、慰謝料に応じなければならない。

      親コメント
    • by Anonymous Coward on 2014年02月04日 19時09分 (#2539337)

      ANAが4桁の実装を固持したため、
      JALに「競合他社と比較して強固であるため改善の必要なし」と誤った判断をさせた責任。

      親コメント
    • by Anonymous Coward

      さっき抗議の電話入れたら自分たちは関係ないの一点張りだった
      最低だなANA・・・

      コピペ的にはこうですね

    • by Anonymous Coward
      より強度が弱いANAが狙われていないはずがなく、被害が出ていないはずもない。まだ気付かれていないだけに違いないんだ! とか?

      これでANA側には被害が全く無かったとしたら、それはそれでなぜなのか気になる。
      不審な連続アクセスを弾く仕組みなんかをJAL以上にきっちり作り込んでいた、とか?

      そういや、

      ・何も対策されておらず同じIPアドレスから1秒間に100回でも1000回でもログイン試行が出来る、パスワードが英数字N文字のサイト



      ・正当なユーザには全く気付かれない範囲で不正なログイン試行の繰り返し等は徹底的に弾く仕組みを導入した、パスワードが数字4桁のサイト

      の安全性が同じぐらいになるNってどれぐらいなんだろ?

      攻撃者が使えるボットネットの規模の想定とか、前者の応答速度とか色々と考えなきゃいけないパラメータは多いけど。
  • by Anonymous Coward on 2014年02月04日 19時09分 (#2539340)

    数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?

    例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。
    初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]
    変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]

    • by Anonymous Coward on 2014年02月04日 19時27分 (#2539362)

      数字英字大小区別記号可で、93種使えるそうですので、
      8文字パスワードの組み合わせ総数は
      93^8≒5.6e+15
      よって数字のみでも16桁あれば、とりあえず同等以上と言える。

      親コメント
      • 逆に英数記号だと、93^2=8649と言う事で、
        数字4桁は英数記号2桁分程度の性能という事に。

        --
        TomOne
        親コメント
      • by Anonymous Coward

        よって数字のみでも16桁あれば、とりあえず同等以上と言える。

        なるほど。
        ちなみにカブコムのメインパスワードは英数字6桁~16桁で設定でき、店頭FX携帯用パスワードは英数字6~15桁だけど入力しやすい数字のみの設定を推奨で、記号は使えません。

    • by Anonymous Coward on 2014年02月04日 19時23分 (#2539356)

      > 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?

      まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度に
      しようとすると、
      log(26+26+10)*8/log(10)≒14.3
      ですから、14文字では足りず、15文字必要ということになりますね。

      #英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…

      親コメント
      • by Anonymous Coward

        今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…
        1234のような辞書に載っている単語もあるのでそういうものは禁止して。

        • 一定期間中に連続して間違えてたらユーザに通知して困ってるのか尋ねるくらいしないとダメでしょうね。

          >1234のような辞書に載っている単語もあるのでそういうものは禁止して。

          大昔から初期値が誕生日MMDDになってたそうで、そこがまずダメだろうね。
          パスワード変更作業が楽にできるようになってればいいけど、そうでなければ面倒で変えないユーザが多いだろうし。
          こっちも一定期間中にlogin & パスワード変更が無ければユーザに通知して変更を促すとかしないとダメだと思う。

          親コメント
        • 高木センセイが指摘しているリバースブルートフォースという手口ですが、これは
          「一つのパスワード」に対して「複数のID」を順番に試すという手口です。
          ので一つのIDについて何回かパスワード間違えたらロックという手法では防げません。
          やるとしたら、「同じIPアドレスから連続して複数のIDでのログイン試行があったら、そのIPアドレスをブロック」とかでしょうか?

          • by Anonymous Coward on 2014年02月04日 21時10分 (#2539445)

            ボットネットとかを使えば IP も 10万種類ぐらいまでは調達できるので
            同一IPから1000回までのアクセスを許したとして
            1000回×IP10万種類×安全係数1000=10^11ぐらいのバリエーションが
            パスワードにないと不味くて、数字11桁は欲しいところですね。

            もっとも、大規模マンションのNATゲートウェイとか、
            総合大学のプロキシとか、一つのIPに数千人ぶら下がっているケースも
            あるので1日1000回までとかにすると一部のIPを手動で解除しなければ
            いけなくなったりしてなかなか面倒なことに。

            親コメント
          • by Anonymous Coward

            企業内からの接続とか、ケーブルテレビとかで複数のクライアントが同一IPにいるケースや、
            モバイルでIPを移動しながら試行するケースが対応できません。

            特にモバイルは、大量のクライアントが同じIP内に居るだけでなく
            個々のクライアントはIPを移りわたっていくのでタチが悪い。

    • 徳丸さんが紹介している「安全なウェブサイトの作り方改訂第6版」のグラフが分かりやすい。

      安全なウェブサイトの作り方改訂第6版のP61からグラフの引用。文字の種類・文字数とパターン数との関係です pic.twitter.com/RjBaT0Ks1g [t.co]

      — 徳丸 浩 (@ockeghem) 2014, 2月 4 [twitter.com]

      数字 15 桁で、英数記号大文字小文字の8文字程度、らしい。

      親コメント
  • by Anonymous Coward on 2014年02月04日 19時11分 (#2539343)

    デフォルトパスワードが誕生日なので、とりあえず366通りを試すのが手っ取り早い。

    • by Anonymous Coward

      別に誕生日決め打ちしなくても、
      10億×1万=10兆通りを試すだけで、全会員のIDとPSが取得できるのでは?

    • by Anonymous Coward

      1230まではいったのだが

      • by miyuri (33181) on 2014年02月04日 19時51分 (#2539382) 日記

        高々0~366のハズなので、間違って入力している気がする。

        親コメント
      • by minemo (41273) on 2014年02月04日 19時26分 (#2539359) 日記

        えっ、うちの番地出されても

        親コメント
      • by Anonymous Coward on 2014年02月04日 22時36分 (#2539487)

        この大馬鹿者!ってレスするようなおっさんはもういないんだよ
        老兵は去ろうぜ

        親コメント
      • by Anonymous Coward

        1230まではいったのだが

        12月が31日までしかないって誰が決めたの?

        #ってひと多いよね。

        • by Anonymous Coward

          12月が31日までしかないって誰が決めたの?

          デスマ出産。

      • by Anonymous Coward

        しょうがないのでブルートフォースに切り替えました。

        なぜ最初からそれをやらんのだ

      • by Anonymous Coward

        認証画面突破できなかったのでPCかスマホか携帯か固定電話機壊したんですねw

    • by Anonymous Coward

      365だろwってツッコミそうになった。

  • by Anonymous Coward on 2014年02月04日 20時14分 (#2539403)

    ウッヒッヒ、盗んだJALマイルでファーストクラスの航空券買ったんで、これからハワイだ。
    てな馬鹿だったらニュース読むのが楽しそうだな。

    • by Anonymous Coward

      マイルはなんだかんだと他のポイントに変換できます。
      私の使っている航空会社のマイレージは最終的にはキャッシュまでいけますよ。海外出張が高頻度だったので、結構なお小遣いです。

  • by Anonymous Coward on 2014年02月04日 21時21分 (#2539453)

    桁少なくても耐クラック性は数字オンリーよりは高そうに思うけど
    まあ、安易に名前入れて辞書攻撃に合う確率は高そうですが

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...