日本航空(JAL)と全日本空輸(ANA)は2014年7月および8月、オンラインサービスのユーザー認証を強化することを発表した。従来のユーザー認証に使っていた数字4桁あるいは6桁のパスワードが破られ、不正ログインが相次いだためだ。JALは、生年月日による認証を追加。ANAは、パスワードを英数文字8桁以上16桁以下に変更し、9月から運用を開始する。

マイル目的の不正ログインが相次ぐ

 JALとANAはそれぞれ、マイレージサービス会員向けのWebサイトを運営している。Webサイトにログインすれば、自分がためたマイルを参照できるとともに、ギフト券などの特典と引き換えることなどが可能になる。2014年1月末から3月にかけて、両社の会員向けWebサイトに対して、不正ログインが相次いだ(関連記事1:JALマイレージWebサイトに不正アクセス、関連記事2:ANAマイレージクラブへの不正ログインで112万マイルが詐取)。

 JALでは約100件の不正ログインが発生。そのうち約50件でマイルがギフト券に不正に交換され、数百万円規模の被害が発生した。ANAでは11人のアカウントが不正ログインされ、約146万マイルが詐取されてギフト券に交換された。

 不正ログインされた原因は、ログインに必要なパスワードが数字4桁あるいは6桁だったためだと考えられる。例えば数字4桁ならパスワードは1万種類しか存在しない。専門家の多くは、「リバースブルートフォース攻撃(逆総当たり攻撃)」という手法で不正ログインされた可能性が高いとみている。

 リバースブルートフォース攻撃とは、パスワードを固定して、ユーザーID(お得意様番号やお客様番号)を変えながらログインを試行する攻撃のこと(図1)。

図1●リバースブルートフォース攻撃のイメージ図
[画像のクリックで拡大表示]

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら