2014年2月に発覚した、日本航空のマイレージサービスを狙った不正アクセス事件では、65人が不正ログインを受け、うち43人分のマイルがAmazonギフト券に交換された。被害額は数十万円相当に上る。

 日本航空が不正アクセスを許した背景には、二つの要因があった(図4)。一つは、パスワードが数字6桁に限定されていた点だ。同一IDでログインを複数回試行する不正アクセスには、アカウントロックなどの対策を取れる。しかし、パスワードを固定してIDを変えながらログインを試行する「逆総当たり攻撃」を防ぐのは難しい。パスワードが一致する確率が100万(=10の6乗)分の1とすると、会員総数に当たる約2700万IDで試せば、数十IDでログインが成功する。日本航空は「具体的な攻撃手法は調査中」同社広報部)としている。

図4●日本航空のマイレージ不正アクセス事件の要因
図4●日本航空のマイレージ不正アクセス事件の要因
「弱いパスワード」と「換金可能サービス」が不正アクセスを招いた
[画像のクリックで拡大表示]

 もう一つの要因は、前述のような脆弱なパスワードのまま、Amazonギフト券という換金しやすい商品をマイレージと交換するサービスを2013年3月に始めていたことだ。オンラインゲーム用のポイントや電子ギフト券など、ネット上で換金しやすい商品を扱うWebサービスは、そうでないサービスと比べ、金銭目当てのサイバー攻撃を受ける可能性が桁違いに高くなる。マイレージに脆弱なパスワードを使う企業はほかにもあるが、数字6桁のパスワードを残すのであれば、換金しやすい商品の扱いは避けるべきだったろう。

 航空業界以外にも、脆弱なパスワードがセキュリティレガシーとして放置されている例は多い。例えば三井住友銀行のオンラインバンキングでは、振り込みなどの重要な取引についてはワンタイムパスワード生成機を無償で配布し、認証を強化している。その一方で、残高照会や利用明細照会ができる第一暗証は、テレホンバンキングと共通の4桁の数字だ(インターネット専用パスワードを申し込んだ場合を除く)。最初に設定される暗証番号は、申し込み方法によってはキャッシュカードと同一になる。

 また、三菱東京UFJ銀行は新規加入者には英数8文字のパスワード登録を求めるが、サービス開始当初の名残から、今でも4桁数字のパスワードの使用が許されている。