日本航空(JAL)と全日本空輸(ANA)は2014年7月および8月、オンラインサービスのユーザー認証を強化することを発表した。従来のユーザー認証に使っていた数字4桁あるいは6桁のパスワードが破られ、不正ログインが相次いだためだ。JALは、生年月日による認証を追加。ANAは、パスワードを英数文字8桁以上16桁以下に変更し、9月から運用を開始する。
マイル目的の不正ログインが相次ぐ
JALとANAはそれぞれ、マイレージサービス会員向けのWebサイトを運営している。Webサイトにログインすれば、自分がためたマイルを参照できるとともに、ギフト券などの特典と引き換えることなどが可能になる。2014年1月末から3月にかけて、両社の会員向けWebサイトに対して、不正ログインが相次いだ(関連記事1:JALマイレージWebサイトに不正アクセス、関連記事2:ANAマイレージクラブへの不正ログインで112万マイルが詐取)。
JALでは約100件の不正ログインが発生。そのうち約50件でマイルがギフト券に不正に交換され、数百万円規模の被害が発生した。ANAでは11人のアカウントが不正ログインされ、約146万マイルが詐取されてギフト券に交換された。
不正ログインされた原因は、ログインに必要なパスワードが数字4桁あるいは6桁だったためだと考えられる。例えば数字4桁ならパスワードは1万種類しか存在しない。専門家の多くは、「リバースブルートフォース攻撃(逆総当たり攻撃)」という手法で不正ログインされた可能性が高いとみている。
リバースブルートフォース攻撃とは、パスワードを固定して、ユーザーID(お得意様番号やお客様番号)を変えながらログインを試行する攻撃のこと(図1)。
図1●リバースブルートフォース攻撃のイメージ図
[画像のクリックで拡大表示]
