全日本空輸(ANA)は2014年3月10日、ANAマイレージクラブのWebサイトが不正ログインを受け、顧客のマイレージがiTunesギフトコードへ交換されていたことを明らかにした(特別なお知らせ)。
ANAに申告があった9人分、計112万マイルについて、3月7~9日の間にiTunesギフトコードへ交換されていたことを確認したという。iTunesギフトコードの場合、同一年度内で3万マイル以上交換する際は円との交換レートが半額になるため、実損害額は約65万円になるという。同社は10日18時30分以降、iTunesギフトコードへの交換サービスを停止した。不正ログインの手段など攻撃の詳細や、他にも不正ログインがあったかについては調査中という。
マイレージを巡っては、日本航空(JAL)でも2014年2月、JALマイレージバンクへの不正ログインが発覚、43人のマイレージ数十万円分がAmazonギフト券に交換される事件が発生している(参考記事)。同サイトでは、会員番号と6ケタの暗証番号で認証する。暗証番号のケタ数が少ないと、暗証番号を固定してIDを変えながらログインを試行する「逆総当たり攻撃」で不正ログイン攻撃を受けやすいとされる。
ANAマイレージクラブでは、10ケタの会員番号と、4ケタの暗証番号でログイン認証する。ログインした状態で登録住所、電話番号、勤務先が閲覧できるほか、住所の変更も可能である。GoogleやFacebookといった他社IDの連携によるログインも可能だが、4ケタの暗証番号によるログイン機能を停止することはできない。
同社は顧客に暗証番号の変更手続きを呼び掛けているほか、「恒久的な対策についても検討している」(広報部)という。
第2段落で、「ANAに申告があった9人分、計112万円分のマイレージについて、3月7~9日の間にiTunesギフトコードへ交換されていたことを確認したという。」としていましたが、正確には「ANAに申告があった9人分、計112万マイルについて、3月7~9日の間にiTunesギフトコードへ交換されていたことを確認したという。iTunesギフトコードの場合、同一年度内で3万マイル以上交換する際は円との交換レートが半額になるため、実損害額は約65万円になるという。」でした。
これに伴い、タイトルも「不正ログインで112万円分が詐取」から「不正ログインで112万マイルが詐取」と修正しました。以上、お詫びして訂正します。本文は修正済みです。[2014/03/11 15:50]