JALのマイレージバンクで不正な特典交換がされた件で考えてみた。

こんなことが起きているんだそうです。

JAL側としては、Amazonギフトカードへの交換停止とパスワード変更を促しています。 気になるところとしては、他の海外航空会社でも数字6桁をパスワードとしているところがありますよね。 そもそも論ですが、数字だけの組み合わせではwordが入らないのでPasswordという言葉を使うのに違和感を感じるので、今回はPIN (Personal Identification Number) と書いてみます。

Twitter界隈を見ていると、そもそもPINとして数字6桁しか使えないんだから、ロック機構を持っていなければ 000000 〜 999999 の百万通りを当たるブルートフォース攻撃すればPIN発見できる、という意見が。 いまPINを間違えると10秒程度のWaitをかけられて、その後はエラーページに遷移するような仕様のようです。 これではブルートフォース攻撃的にはやり方次第では無意味かもしれません。 また、Webサーバのロードバランサとアプリケーションサーバでのコネクション数が増えて、高コストなシステムとなってしまうでしょう。

(追記 2014/2/11) PINの組み合わせで挑戦するブルートフォース攻撃でなく、PINの値を123456などに固定して会員番号を順次当たっていくリバースブルートフォース攻撃だったのでは、という話もあります。 この部分を書いている時点でも、どのような攻撃があったのか公開されていないみたいなので、良くわかりません。

本件の対策として、利用者としてはこの辺のことを心の片隅に置いておくとよいかも。

  • 「パスワードの変更をお願いします」とか書いていますが、全く対策になっていないという意見もあります。変更した後に破られることも無きにしもあらず、ぐらいしか意見できませんが。

  • 不審な特典交換が行われていないか確認したほうがよいでしょう。 見に覚えのないものがあったら、JALに連絡しましょう。 マイル残高を使い込んで空っぽにすればいい、と最初に思ったのですが、航空会社としては不正に交換された特典を停止したり、補償することも出来るはずなので、無理に使い込まなくてもいいのかなと思います。 補償されるかどうかは、私は知りません。

  • 他の航空会社のシステムはどうなの?なんて話が出ています。国内外含めて、同様な問題があるかもしれませんのでご注意ください。

  • 国際線を毎月のように乗っている方ならば、数十万マイル貯まっている方も多いのでは。 航空会社のマイル管理は銀行のインターネットバンキングほどキッチリしていないのは今回の件で明らかになったので、貯めこむのもホドホドにしたほうがよいのでしょうかね。


今回の事故が情報漏洩でなくブルートフォース攻撃であったとして、勝手ながらシステム側の対策を考えてみました。

  • 一定回数を間違えたらアカウントをロックする仕組み。 ただ、ロックした後の解除のworkflowを準備するのが大変なので、取り敢えずはCAPTCHA認証あたりはどうですかね。 ブルートフォース攻撃に耐性ありますよ。

  • 数字以外の文字も受け入れられる仕組み。PINからパスワードへの変更。 電話予約とか有るから難しい? 電話とWebでは別パスワード・PINでも良いかと。

  • 一時的にポイント交換特典の交換先の見直し。Pontaは1週間でポイント加算らしいのですが、交換前の確認の事務処理が間に合うのかどうか疑問。 損失額が小さいんだったら放置でもいいんでしょうけど。

  • 会員情報変更してマイル特典交換すると、他人でも航空券取得できますかね。出来るならばゲートでの会員証や身分証明証の確認必要ですかね。国際線ならばパスポート確認しているからいいけど、国内線で印刷済みチケットや携帯電話のチケットだとやってないからなぁ。後で監視カメラから不正利用者はあぶり出せそうですが。

  • 航空会社の運営に使うシステムってパッケージソフトになっていたりするので、他社にも同じ問題があって広範囲になりやしないかと心配です。


気になったので自分のマイル残高や履歴を見てみたのですが、とっくの昔に期限切れとなっていました。 どーでもいいけど、PINが突破できると登録氏名や住所が見えますね、個人情報流出になっていないことを願うばかりです。 桑原桑原。 日本で作ったアカウントで国外の住所にインターネットからは変更できないみたいなので、取り敢えず放置。 退会するにも日本に電話とかになっているので、放置決定。

ちょうど数週間前に某先輩とパスワードの運用どうするみたいな話をしていて、 (´ヘ`;)ウーム… とか言っていた直後の話なので、何となくホットな内容でした。

コメント

  1. ANAなんて未だ4digitなんだけども。(昔はJALも4ケタ)
    半年前に135,000マイルを特典に交換したばかりなのであんまり残ってないや。

    返信削除
  2. そうそう、ANAは4桁のママで、暗証番号を固定してIDの部分を適当に当たっていけば、1万分の1の確立で誰かのアカウントでログインできるんじゃないのか、って話が話題に。

    返信削除

コメントを投稿

このブログの人気の投稿

パスワードを覚えるのも無理があるから、パスワードマネージャ使いましょう。

大型特殊自動車免許を取った時の話。

車両系建設機械運転者(整地) の講習