パスワードを忘れた? アカウント作成
11403457 story
セキュリティ

JALが携帯電話を使わない二段階認証を採用 50

ストーリー by hylom
ANAはどう動くか 部門より
あるAnonymous Coward 曰く、

先日、JALマイレージバンクでの不正アクセス事件が発生した日本航空(JAL)。ログインIDとして数字7桁もしくは9桁の「マイレージ番号」を使用し、パスワードは数字6桁という仕様がセキュリティ的に脆弱だとの指摘があったが、これを改善するためか、同サイトに新たな「二段階認証」が採用された(JALの発表)。

一般的には二段階認証というと、ログイン時に携帯電話/スマートフォンなどにSMSなどでメッセージを送信し、そこに記載されている認証コードをユーザー名やパスワードとともに入力させることでより強固なセキュリティを実現する、というものだが、JALが採用した二段階認証は「一部機能のご利用時に生年月日を入力させる」というものになっており、セキュリティの向上にあまり寄与しないものになっている。

本人確認のために生年月日を使用するのはよろしくない、というのは数年前からすでに言われていることだが、まさに斜め上の「二段階認証」を採用したJALのセキュリティ意識はどうなっているのか、逆に気になるところである。

なお、ITmediaによるとJAL側は「これが最終形ではない。引き続き、セキュリティ強化を順次、行っていく」と述べているそうだ。また、この「二段階認証」が必要となるのは一部の機能のみで、ログインに成功すれば氏名の確認はできるほか、予約画面で生年月日を元に計算された年齢が表示されてしまうため、そこから生まれた年については推測できてしまう模様(Togetterまとめ)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • JALなのにANAだらけとはこれ如何に

  • 最終形ではない (スコア:5, おもしろおかしい)

    by miyuri (33181) on 2014年08月04日 13時06分 (#2650488) 日記

    郵便番号、そして電話番号と、あと二回残している。

  • by Anonymous Coward on 2014年08月04日 15時15分 (#2650608)

    間違った見出しを付けると、これが二段階認証なんだと
    間違ったことを流布するので、やめて頂きたい。

    • by Anonymous Coward on 2014年08月04日 15時39分 (#2650632)

      二段階認証≠二要素認証
      だとは思いますが・・・いろいろミスリードしそうですよね。

      親コメント
    • 正直に「生年月日認証」と言えばいいのにね。

      # 「これは認証とは言わない」という反論を予想。

      親コメント
    • by Anonymous Coward

      二段階認証で間違いないですよ。
      ただし、一般的に認証の安全性を高める二要素認証とか二因子認証と呼ばれるものではないです。

      LINEが最近始めた乗っ取り防止策のPINコードも、JALと同じく二段階認証でしょうね。
      要するにパスワード認証と誕生日認証の二段階ってだけです。

      LINEの場合はパスワードのほかに暗証番号が登録できるというだけ。

  • by Anonymous Coward on 2014年08月04日 13時25分 (#2650504)

    色々と突き上げ食らっただろうから、携帯電話を使うとかの本格的な対応には工数がかかるから、手軽な工数で「仮対処しました」という免罪符が欲しいのでしょう。

    • by Anonymous Coward on 2014年08月04日 13時57分 (#2650538)
      会員が国内にいるのが前提なら携帯を使うのはアリだと思いますが、
      JAL場合は、会員が海外にいる場合も想定する必要が
      あるので、通信料もかかるから使いにくいんじゃないでしょうか。
      親コメント
      • by Anonymous Coward

        さらに携帯持ってない人とかもいるかもしれないしなぁ。特に高齢者とか偉い人とか。

    • by Anonymous Coward on 2014年08月04日 13時35分 (#2650514)

      実際のところ、そんなに複雑にされてもという気持ちです。
      パソコンで操作してるのに携帯電話での認証とか面倒ですし。
      ぶっちゃけJALやANAのサイトに自分のアカウントで不正アクセスされたとして、事後対策で駄目なものがどれほどあるんでしょうね。

      親コメント
      • by Anonymous Coward

        > 事後対策で駄目なものがどれほどあるんでしょうね。

        個人情報。

        # 別に複雑な認証でなくともパスワードに英字記号を
        # 使えるようにすれば良いだけだったのに、半年じゃ
        # 難しかったんでしょうかね。JAL的には。

      • by Anonymous Coward

        まあスマートウォッチでも買ってくれとしか言えない。パソコンだけでも二段階認証はできるけどね。
        パスワード自体が時代遅れなんだよね。

  • by Anonymous Coward on 2014年08月04日 20時21分 (#2650800)

    ひろみちゅとかが既に指摘してるけど、2段階の1段階目で氏名やらマイルやら年齢やらが表示できてしまう。
    素直にパスワードと生年月日の同時入力にすればいいものを、わざわざ分けることで大きくセキュリティレベルを下げてる間抜け実装が問題。

    • by Anonymous Coward

      年齢が見れる時点で、最大で1年かければ誕生日を割り出すことができますね。

      名前が見れると、Facebookで検索して誕生日を確認できることもありますね。
      年齢から生まれた年は計算できますし。

  • by Anonymous Coward on 2014年08月04日 13時14分 (#2650498)

    予約周りにオペレータの特殊な操作が必須になる例外事項がやたらめったら多いので、電話というUIを変えるのは難しいんだろう。
    それならいっそのこと、二段階認証とかややこしい事をせず、シンプルに折り返すことにしたら早いんじゃないかな。

    電話をかけて自動応答システムに対してパスワードまで入力すると
    「登録しました。登録されている携帯へ折り返しますのでしばらくお待ち下さい」との案内後、一旦電話が切れる。
    待ってたら、JAL側から電話がかかってきて、それを取ってからやりたかった手続きを続ける。

    これで、いわゆる二段階認証と同等のセキュリティになるはず。

    • by Anonymous Coward

      それを単純にやってしまうと、その電話に似せた詐欺をどう防ぐかが問題になりそうです。
      折り返し電話っぽく、
      「先ほどお手続き頂きましたJALカスタマーセンターの○○です。本人確認のため、ログインIDとパスワードをお願いします」

      「あなたの名前でチケットが買われていました。キャンセルするので振込先の銀行口座を教えてください」
      などと騙す詐欺ですね。(今、このような詐欺が無いとは言いませんが)

      電話というUIにメリットがあるのは同意見です。
      母さん助けて詐欺の対策として、留守番電話にするという対策があります。
      折り返しでかかってきた電話で、留守番電話に何かキーワードを入れてもらうなども良いかもしれません。

    • by Anonymous Coward

      それは、既存のIVRや電話オペレータと、セキュリティ的に何が違うんですか?
      折り返さずとも、電話番号は伝わってますしね。
      登録の番号と違う電話から掛けてきたときにオペレータが拒否すればいいだけですよね。

      • by Anonymous Coward

        なるほど、確かに。
        二段階認証を検討するぐらいなら、「登録番号以外からの電話を拒否する」みたいな設定項目を設ける方が早いですね。

    • by Anonymous Coward

      私はそんなことでは満足できず、RSA SecurID カードじゃないととてもセキュリティ上満足できません。

      というように、あなたの満足とシステムが適合しないことは往々にあるのです。

      要件と時間、コスト、使い勝手を天秤にかけた結果、今の形になったのは簡単に想像できます。
      実際JALが今手元にあって、ユーザが絶対に失念しないパスワードに利用可能な値っていうのは生年月日か性別か、姓名か...そんなもんじゃないでしょうか。
      生年月日がよくないなんてことわかってないはずがない、それでもやらないよりはやるほうが絶対正しいと思う。

      • by Anonymous Coward

        絶対という言い過ぎが引っかかる。

        もし「何であれセキュリティが向上するなら絶対正しい」の意味なら、そういう考えは端的に言って社会の敵。

        「今回の件は引き越されるユーザビリティの低下とセキュリティの向上、導入コストを天秤にかけた上で」、
        「正しい」という意味であれば、納得する余地はあるが、絶対と言い切るにはかなり慎重な検討が必要。

        折り返しを使った二段階認証もどきの良いところは、ユーザビリティはある意味向上するという点。
        大体、電話をかけてお客様番号とパスワードを入力すると、その後、オペレータに繋ぐところで数分待たされる。
        混んでいるときに至っては、10分を越えるような待ち時間の見積もりが自動音声アナウンスされるぐらい。
        折り返しにすれば、この待ち時間、通話を維持する必要がなくなる分だけユーザの負担が減る。

        そういう意味で、ぼくのかんがえたさいきょうの方式、だと思ったんだけど、いまいちなアイデアだったことは別途、既に論破されたとおり。

  • by Anonymous Coward on 2014年08月04日 13時50分 (#2650533)

    格安SIM全盛でデフォルトではSMSついてないものが増えていますからね
    ゲーム機の周辺機器と同じでみんなが持っていると各省の持てない機能は使えないでしょう

    • by Anonymous Coward

      格安SIMは200万件にも満たない上に副回線と利用している人が多いんですがそれは…

  • by Anonymous Coward on 2014年08月04日 14時12分 (#2650552)

    JALを利用する層でスマホどころかケータイのメール機能を使っていない、使い方のわからない人は山ほどいる
    それらのクレーム処理を考えたら当然使えない
    JMBのユーザ番号の桁数を見ればわかるが、パスワードも6ケタもあれば実質的に十分だ

    • by Anonymous Coward

      上のSMS認証にも言えることだけど、
      ちゃんとした2段階認証を、一律に全員適用しなくてもオプトインでやればいい話。
      わからない人はわからないならやらなくていい。ただしセキュリティ的に危ないですよ、とは伝えるべき。
      同時に、2段階でない普通の認証の方も、「普通レベル(多文字種で長いパスワードの登録)」までやれば、2段階使用しなくても一定の安全性が保てる。
      ただし、こちらはユーザー側が完全に「使い回ししない」「強いパスワードを使う」ことが要求されるが、これはもう完全にユーザー側の責任だから、JAL側はもう文句言われる筋合いはない。
      ここまで出来ればね・・・

    • by Anonymous Coward

      JALを利用する層でスマホどころかケータイのメール機能を使っていない、使い方のわからない人は山ほどいる

      邪推ですが、JALもANAも電話自動応答システムをやめられないのはネットが使えない使い方が分からない層ってのが富裕層の高齢者ばっかりで、システム止めて顧客逃すのを恐れているからだったりして。

      • by Anonymous Coward on 2014年08月04日 15時13分 (#2650606)

        あまり高齢者を哂ってはいられない。

        とある社内システムを構築したさ。ITを主眼においた新規企業さんのさ。
        簡単な画面を作りながら仕様をこねてる段階で、お客様と相談して分かった事:
        「DelキーやBackspaceキーを押せない人が多い。「一文字消す」ボタンを画面につけて」
        「ボタンをヨコに並べるのは3つまで。4つ以上並べると戸惑う人が多い」
        「右クリックやダブルクリックできない人が多い」
        他色々・・

        こういう事を経験してから、俺は「若者は何でも使いこなすけど、高齢者には難しい」とかいう、年齢でリテラシを区分するような考えは捨てた。

        親コメント
        • by Anonymous Coward

          それはその企業の従業員が知的高齢者ばかりだっただけではないのかな
          ケータイ・スマホ世代の高卒以下ばかり、ということかもしれんけど

          • by Anonymous Coward

            まあ呼び名をひねり出すのは勝手ですけど、
            実際新卒の方々の性質は
            「まずPCの操作くらいはできないと、WordとExcelくらいは使えないと」と就職前に学ぼうって世代は終わって、
            「だいたいスマホやタブレットでできんじゃん、PCなんて授業でしか触らないよ」って世代になってるようです。
            メールやツイートはできる。でも複数ページにわたる文書の作成や表計算、グラフ作成はロクにやったことがない、みたいな。
            馬鹿にするしないではなく、単純に持ってる技能の違いの話として。(きっと撮った写真の編集とかは俺より上手いんだ)

      • by Anonymous Coward on 2014年08月04日 16時09分 (#2650651)

        そういう富裕層の高齢者相手は、手数料追加して人間が対応すればいいと思うの。
        ・セルフサービスのネット予約。その分安い。
        ・利用料金が高いけど上げ膳据え膳やってくれるコンシェルジュ対応
        で問題ないと思うんだよなー

        親コメント
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...