JALが携帯電話を使わない二段階認証を採用 50
ストーリー by hylom
ANAはどう動くか 部門より
ANAはどう動くか 部門より
あるAnonymous Coward 曰く、
先日、JALマイレージバンクでの不正アクセス事件が発生した日本航空(JAL)。ログインIDとして数字7桁もしくは9桁の「マイレージ番号」を使用し、パスワードは数字6桁という仕様がセキュリティ的に脆弱だとの指摘があったが、これを改善するためか、同サイトに新たな「二段階認証」が採用された(JALの発表)。
一般的には二段階認証というと、ログイン時に携帯電話/スマートフォンなどにSMSなどでメッセージを送信し、そこに記載されている認証コードをユーザー名やパスワードとともに入力させることでより強固なセキュリティを実現する、というものだが、JALが採用した二段階認証は「一部機能のご利用時に生年月日を入力させる」というものになっており、セキュリティの向上にあまり寄与しないものになっている。
本人確認のために生年月日を使用するのはよろしくない、というのは数年前からすでに言われていることだが、まさに斜め上の「二段階認証」を採用したJALのセキュリティ意識はどうなっているのか、逆に気になるところである。
なお、ITmediaによるとJAL側は「これが最終形ではない。引き続き、セキュリティ強化を順次、行っていく」と述べているそうだ。また、この「二段階認証」が必要となるのは一部の機能のみで、ログインに成功すれば氏名の確認はできるほか、予約画面で生年月日を元に計算された年齢が表示されてしまうため、そこから生まれた年については推測できてしまう模様(Togetterまとめ)。
一度大きな被害が出ない限り変わらないんじゃないのかと (スコア:5, おもしろおかしい)
JALなのにANAだらけとはこれ如何に
Re:一度大きな被害が出ない限り変わらないんじゃないのかと (スコア:4, おもしろおかしい)
ZAL だからさ。
JAL「これが最終形ではない。」 (スコア:0)
航空会社なのにフリーザとはこれ如何に
Re: (スコア:0)
ANAのデフォルトパスワードよりはましか?
# 最近はランダムになったのだろうか…
Re: (スコア:0)
仕様は変わってませんが、入会時にパスワードを入力させるようになっています。
電話自動受付なんてやってるからパスワードの複雑化ができないんで、ネットとオペレータ受付だけにしてしまえばいいのに。
Re: (スコア:0)
「おJAL丸」と「ANAと雪の女王」みたいに同業つながり的な・・・
Re: (スコア:0)
で、出たら出たで国に救ってもらえるんだよな。
甘えよバカの集団。
Re: (スコア:0)
頭がピーチなんだな
最終形ではない (スコア:5, おもしろおかしい)
郵便番号、そして電話番号と、あと二回残している。
そしてこれが真の最終形 (スコア:5, おもしろおかしい)
Re:最終形ではない (スコア:1)
さらに「秘密の質問」を残している。
Re: (スコア:0)
血液型(ABO,RH)と性別も入れてください。
これは二段階認証とは言わない (スコア:4, すばらしい洞察)
間違った見出しを付けると、これが二段階認証なんだと
間違ったことを流布するので、やめて頂きたい。
Re:これは二段階認証とは言わない (スコア:1)
二段階認証≠二要素認証
だとは思いますが・・・いろいろミスリードしそうですよね。
Re:これは二段階認証とは言わない (スコア:1)
正直に「生年月日認証」と言えばいいのにね。
# 「これは認証とは言わない」という反論を予想。
ワンタイム生年月日 (スコア:0)
生まれ変わりを信じているなら、使えるかもしれん。
Re: (スコア:0)
二段階認証で間違いないですよ。
ただし、一般的に認証の安全性を高める二要素認証とか二因子認証と呼ばれるものではないです。
LINEが最近始めた乗っ取り防止策のPINコードも、JALと同じく二段階認証でしょうね。
要するにパスワード認証と誕生日認証の二段階ってだけです。
LINEの場合はパスワードのほかに暗証番号が登録できるというだけ。
ぶっちゃけ時間稼ぎでしょ? (スコア:2, 参考になる)
色々と突き上げ食らっただろうから、携帯電話を使うとかの本格的な対応には工数がかかるから、手軽な工数で「仮対処しました」という免罪符が欲しいのでしょう。
Re:ぶっちゃけ時間稼ぎでしょ? (スコア:2, すばらしい洞察)
JAL場合は、会員が海外にいる場合も想定する必要が
あるので、通信料もかかるから使いにくいんじゃないでしょうか。
Re: (スコア:0)
さらに携帯持ってない人とかもいるかもしれないしなぁ。特に高齢者とか偉い人とか。
Re:ぶっちゃけ時間稼ぎでしょ? (スコア:1)
実際のところ、そんなに複雑にされてもという気持ちです。
パソコンで操作してるのに携帯電話での認証とか面倒ですし。
ぶっちゃけJALやANAのサイトに自分のアカウントで不正アクセスされたとして、事後対策で駄目なものがどれほどあるんでしょうね。
Re: (スコア:0)
> 事後対策で駄目なものがどれほどあるんでしょうね。
個人情報。
# 別に複雑な認証でなくともパスワードに英字記号を
# 使えるようにすれば良いだけだったのに、半年じゃ
# 難しかったんでしょうかね。JAL的には。
Re: (スコア:0)
まあスマートウォッチでも買ってくれとしか言えない。パソコンだけでも二段階認証はできるけどね。
パスワード自体が時代遅れなんだよね。
Re: (スコア:0)
>ぶっちゃけJALやANAのサイトに自分のアカウントで不正アクセスされたとして~
と大したデータ入ってないからいいじゃんというスタンスで書いてるのに「すぐサービス元に文句言う」とか意味不明なレッテル貼りされてもね。
Re: (スコア:0)
別ACだけど、住所氏名年齢電話番号マイル数メールアドレス家族の名前が「大したデータ」でないと思ってるとか
普通は想像しないから、誤読して意味不明なレッテル貼りしちゃっても仕方ない。
Re: (スコア:0)
別ACだけど
別ACだけど!!
Re: (スコア:0)
マイル以外は家族の誰かが懸賞にでも応募すればあっさり出て行く情報だよね。
それが漏れたら人生終わるの?
そもそもそんな大事なデーターなら会員登録なんかしなけりゃいいのに。
何重にも認証しても会員情報裏から抜かれたら意味ないぞ。
結局利用する上での利便性とセキュリティのバランスをどこで取るかの話でしかない。
SMS認証にすることで上がる安全性と手間のバランスが取れてるとは思えんね。
Re: (スコア:0)
そのマイルはどないやねんおら
Re: (スコア:0)
> それが漏れたら人生終わるの?
人生終わるほどのことはまずないだろうけど、
詐欺に遭いやすくはなるかなー。
本名年齢生年月日家族の名前が分かるんだから、
母さん助けて詐欺が捗るだろうね。
面倒だよ、詐欺に遭った時の対応は。
あと、この場合JALに登録することは実質的に
「不特定多数に公開」を意味するけれども、
懸賞に応募とかは、特定少数だよね。
そこは結構、無視できない違いじゃないかな。
JALに登録した時も、大抵の人はJAL内部だけに
情報を公開したつもりだったと思うんだ。
Re: (スコア:0)
マイルが見られてその後の人生にやり直しの利かない影響が出るのか詳しくお願い。
つーかそんなに大事なら預けなけりゃいいだろってとこ無視しないでね。
裏から抜かれたら認証なんか意味ないよ。
1段回目で色々見れちゃうのが問題 (スコア:1)
ひろみちゅとかが既に指摘してるけど、2段階の1段階目で氏名やらマイルやら年齢やらが表示できてしまう。
素直にパスワードと生年月日の同時入力にすればいいものを、わざわざ分けることで大きくセキュリティレベルを下げてる間抜け実装が問題。
Re: (スコア:0)
年齢が見れる時点で、最大で1年かければ誕生日を割り出すことができますね。
名前が見れると、Facebookで検索して誕生日を確認できることもありますね。
年齢から生まれた年は計算できますし。
折り返し認証 (スコア:0)
予約周りにオペレータの特殊な操作が必須になる例外事項がやたらめったら多いので、電話というUIを変えるのは難しいんだろう。
それならいっそのこと、二段階認証とかややこしい事をせず、シンプルに折り返すことにしたら早いんじゃないかな。
電話をかけて自動応答システムに対してパスワードまで入力すると
「登録しました。登録されている携帯へ折り返しますのでしばらくお待ち下さい」との案内後、一旦電話が切れる。
待ってたら、JAL側から電話がかかってきて、それを取ってからやりたかった手続きを続ける。
これで、いわゆる二段階認証と同等のセキュリティになるはず。
Re: (スコア:0)
それを単純にやってしまうと、その電話に似せた詐欺をどう防ぐかが問題になりそうです。
折り返し電話っぽく、
「先ほどお手続き頂きましたJALカスタマーセンターの○○です。本人確認のため、ログインIDとパスワードをお願いします」
や
「あなたの名前でチケットが買われていました。キャンセルするので振込先の銀行口座を教えてください」
などと騙す詐欺ですね。(今、このような詐欺が無いとは言いませんが)
電話というUIにメリットがあるのは同意見です。
母さん助けて詐欺の対策として、留守番電話にするという対策があります。
折り返しでかかってきた電話で、留守番電話に何かキーワードを入れてもらうなども良いかもしれません。
Re: (スコア:0)
それは、既存のIVRや電話オペレータと、セキュリティ的に何が違うんですか?
折り返さずとも、電話番号は伝わってますしね。
登録の番号と違う電話から掛けてきたときにオペレータが拒否すればいいだけですよね。
Re: (スコア:0)
なるほど、確かに。
二段階認証を検討するぐらいなら、「登録番号以外からの電話を拒否する」みたいな設定項目を設ける方が早いですね。
Re: (スコア:0)
私はそんなことでは満足できず、RSA SecurID カードじゃないととてもセキュリティ上満足できません。
というように、あなたの満足とシステムが適合しないことは往々にあるのです。
要件と時間、コスト、使い勝手を天秤にかけた結果、今の形になったのは簡単に想像できます。
実際JALが今手元にあって、ユーザが絶対に失念しないパスワードに利用可能な値っていうのは生年月日か性別か、姓名か...そんなもんじゃないでしょうか。
生年月日がよくないなんてことわかってないはずがない、それでもやらないよりはやるほうが絶対正しいと思う。
Re: (スコア:0)
絶対という言い過ぎが引っかかる。
もし「何であれセキュリティが向上するなら絶対正しい」の意味なら、そういう考えは端的に言って社会の敵。
「今回の件は引き越されるユーザビリティの低下とセキュリティの向上、導入コストを天秤にかけた上で」、
「正しい」という意味であれば、納得する余地はあるが、絶対と言い切るにはかなり慎重な検討が必要。
折り返しを使った二段階認証もどきの良いところは、ユーザビリティはある意味向上するという点。
大体、電話をかけてお客様番号とパスワードを入力すると、その後、オペレータに繋ぐところで数分待たされる。
混んでいるときに至っては、10分を越えるような待ち時間の見積もりが自動音声アナウンスされるぐらい。
折り返しにすれば、この待ち時間、通話を維持する必要がなくなる分だけユーザの負担が減る。
そういう意味で、ぼくのかんがえたさいきょうの方式、だと思ったんだけど、いまいちなアイデアだったことは別途、既に論破されたとおり。
sms認証 (スコア:0)
格安SIM全盛でデフォルトではSMSついてないものが増えていますからね
ゲーム機の周辺機器と同じでみんなが持っていると各省の持てない機能は使えないでしょう
Re: (スコア:0)
格安SIMは200万件にも満たない上に副回線と利用している人が多いんですがそれは…
年配ユーザの問題 (スコア:0)
JALを利用する層でスマホどころかケータイのメール機能を使っていない、使い方のわからない人は山ほどいる
それらのクレーム処理を考えたら当然使えない
JMBのユーザ番号の桁数を見ればわかるが、パスワードも6ケタもあれば実質的に十分だ
Re: (スコア:0)
上のSMS認証にも言えることだけど、
ちゃんとした2段階認証を、一律に全員適用しなくてもオプトインでやればいい話。
わからない人はわからないならやらなくていい。ただしセキュリティ的に危ないですよ、とは伝えるべき。
同時に、2段階でない普通の認証の方も、「普通レベル(多文字種で長いパスワードの登録)」までやれば、2段階使用しなくても一定の安全性が保てる。
ただし、こちらはユーザー側が完全に「使い回ししない」「強いパスワードを使う」ことが要求されるが、これはもう完全にユーザー側の責任だから、JAL側はもう文句言われる筋合いはない。
ここまで出来ればね・・・
Re: (スコア:0)
JALを利用する層でスマホどころかケータイのメール機能を使っていない、使い方のわからない人は山ほどいる
邪推ですが、JALもANAも電話自動応答システムをやめられないのはネットが使えない使い方が分からない層ってのが富裕層の高齢者ばっかりで、システム止めて顧客逃すのを恐れているからだったりして。
Re:年配ユーザの問題 (スコア:1)
あまり高齢者を哂ってはいられない。
とある社内システムを構築したさ。ITを主眼においた新規企業さんのさ。
簡単な画面を作りながら仕様をこねてる段階で、お客様と相談して分かった事:
「DelキーやBackspaceキーを押せない人が多い。「一文字消す」ボタンを画面につけて」
「ボタンをヨコに並べるのは3つまで。4つ以上並べると戸惑う人が多い」
「右クリックやダブルクリックできない人が多い」
他色々・・
こういう事を経験してから、俺は「若者は何でも使いこなすけど、高齢者には難しい」とかいう、年齢でリテラシを区分するような考えは捨てた。
Re: (スコア:0)
それはその企業の従業員が知的高齢者ばかりだっただけではないのかな
ケータイ・スマホ世代の高卒以下ばかり、ということかもしれんけど
Re: (スコア:0)
まあ呼び名をひねり出すのは勝手ですけど、
実際新卒の方々の性質は
「まずPCの操作くらいはできないと、WordとExcelくらいは使えないと」と就職前に学ぼうって世代は終わって、
「だいたいスマホやタブレットでできんじゃん、PCなんて授業でしか触らないよ」って世代になってるようです。
メールやツイートはできる。でも複数ページにわたる文書の作成や表計算、グラフ作成はロクにやったことがない、みたいな。
馬鹿にするしないではなく、単純に持ってる技能の違いの話として。(きっと撮った写真の編集とかは俺より上手いんだ)
Re:年配ユーザの問題 (スコア:1)
そういう富裕層の高齢者相手は、手数料追加して人間が対応すればいいと思うの。
・セルフサービスのネット予約。その分安い。
・利用料金が高いけど上げ膳据え膳やってくれるコンシェルジュ対応
で問題ないと思うんだよなー
Re: (スコア:0)
既にネット以外で発券すると手数料が余分にかかるようになっています
https://www.jal.co.jp/inter/tsf/ [jal.co.jp]