先日のJALに続き、ANAも不正アクセスにより、勝手にマイレージの交換等が行われていたようです。貯めたマイルがなくなってしまうことも問題ですが、交換できる(ログインしている)状態では、 搭乗記録はもちろんのこと、会員の住所含めた登録情報までも見たり、変更できたりと、本人と同じことが出来てしまいます。ログインした状態なので「当たり前」のことですが。。。

ANAマイレージクラブに不正ログイン マイルをiTunesコードに不正交換される被害

ANAマイレージクラブは、10ケタのマイレージ番号と、数字のみ4ケタのパスワードの組み合わせでログインでき、ログインすると氏名や住所、電話番号など登録情報の確認も可能だ。再発防止策として同社は、パスワードの強化を含む恒久的な対策を検討するとしている。

先日のJAL(「JALマイレージバンク」不正ログイン問題、数字のみパスワードの強化策を「検討中」)は、強化策を考えているようですし、、今回のANAも同じようになるでしょう。

ここ最近パスワード漏洩系の事件が多発しています。洩れた(フィッシングなどは漏らしてしまった)パスワードで、不正にアクセスされてしまった。。。文字で書けば「こうなります」が、カギを無くして、盗られて、入られたと考えれば、カギをかけることが必要な場所(書庫とか家ドアなどなど…)と変わりません。物理カギと文字パスワードの違いだけです。

南京錠とカギ、ログインとパスワード、ハンバーガーとポテト。。。必ずセットで使われます。カロリーが高いので、ポテトは食べないようにしています(笑) 南京錠とカギは、それを使う場所によって「その重要性」はかわります。例えばスーツケースに使う場合と、もっと厳重なところなどです。場所は変わっても、そのカギが使える南京錠は1個しかありません。

一方でログインとパスワードは、ログインする場所(PCの起動時、サイトの認証等)によって、パスワードが違うはず(セキュリティ上よろしくありませんが同じかも知れません)

今回のケースで考えると、サービス提供者利用者になります。不正にアクセスされた場合、どうにも回避できないのが、先のパスワード漏洩系です。ごっそり持って行かれているので、組合せはバレバレです。この場合サービス提供側に問題があります。

今回は漏洩系ではないようですが、パスワードを数字の4-6桁で使うのならば、もう少し考えた方がいい。しかし、数字パスワードの利点は、電話機などの数字だけ端末でも使える事です。どちらかと言えば、利用者に合わせた形だと思います。本当はフルキーボード入力のようなことをさせたいのでしょうが、利用者のセキュリティ意識が追いついていません。1234とかのパスを使っていても、こんな事件が起きれば大騒ぎになります。

サービス提供者は、セキュリティ意識の低い利用者であっても、パスワード管理は自己責任ということで、利用者を選びません。これ別なサービス、例えば仕事上取引先と共同で利用するネットサービスのパスワードならば、セキュリティ意識が低いのですみません。。。とはならないでしょう。利用者を選ぶこと(取引企業の選別)をしますよね。

利用者は、漏洩系の場合、サービス提供者を選ぶ(変える)ことくらいしかできません。漏洩系でない場合は、パスワードの選定も、管理も自己責任において行われます。忘れない数字パスワードが中々思いつかないので、つい安易なものに走りがちです。それらは「他の場面」でも利用していたりするので、バレる可能性が高くなります。

あなたのパスワード、バレてます

パスワードは、個人情報を守ってくれる砦でも何でもない。いまやどんな人のパスワードも簡単に手に入るようになり、パスワードの時代は終焉を迎えた。US版『WIRED』のシニア・ライターを務める筆者は、Twitterをはじめとする、ありとあらゆるアカウントをハックされ、子どもとの思い出の写真から仕事の記録、信頼から名誉まですべてを失った。わたしたちは、デジタルの世界で自分の身を守れるのか?(本誌『WIRED』VOL.8より転載)

昨年の夏の記事ですが、バレてるものと認識しなければなりません。

サービス提供者、利用者ともに考えなければなりません。どうもパスワードの話を何度しても、向上していかない場面を多く見ます。

よくブログにも書きますが、家ドアに数字キーがあって、4-6桁の数字さえ入れればドアが開くとすれば、利用者側も少しは考えると思うのですよ。その番号突破されれば、ドア開きますから・・・

パスワード関連の過去ブログ

いつになってもたいして変わらない「パスワード」の問題点

ヤフーのパスワードと秘密の質問流出を機会に「改めて自分のパスを見直す方法」

パスワードの問題が多くあるのに、なぜ変えないのですか?

パスワードを忘れてしまった時の「秘密の質問」を誰にもわからない答えにする方法

パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!

5点と4本の線で作る「Androidの指パスワード」強化法

数字パスワード以外にも共通しますが、パスワードの具体的な作り方や、管理方法等の、実用的なことを伝えないままに、パスワードを強化!とか、無理な話です。強化するための方法を知らなければ、なにもはじまりません。

自分で管理することが出来る「唯一の砦」として、パスワードの見直しをして下さい。それしか出来ないのですから・・・

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサーオルタナティブ・ブログ
日々起きる目の前の「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て、考えるように意識しています。 人の「こころ」に興味を持ち、仏教と密教からヒントを得るべく現在研究中。