JALマイレージバンク、不正アクセスによりマイルが盗まれる被害
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
情報元へのリンク
日本航空 (JAL) は3日、同社が運営する「JALマイレージバンク (JMB)」サイトへの不正ログインが判明し、第三者がマイルを特典に交換するトラブルが多数発生していたことを発表した(JALのプレスリリース, ITProの記事, ITmediaの記事)。
報道によると、1月31日から2月2日までに7人の会員から「自分のマイルが意図せず引き落とされている」という被害報告が寄せられており、調査したところ第三者のログインによる「Amazonギフト券」への交換が発覚したという。攻撃を受けた可能性のある会員は60名ほどと見られており、JAL側では事実確認を進めるとともに、交換サービスの停止や会員にパスワードの変更を呼びかけるなどの対応を進めている。
…と、ここまでであればよくある不正アクセス事件の一つでしかないのだが、JMBサイトはなんとパスワードが数字6桁でアルファベットなどを含めることができないという、極めて脆弱な仕様になっていることが話題となっている。同社はこの仕様を脆弱だと考えていないとコメントしており、さらにライバルである「ANAマイレージクラブ」も同じくパスワードを数字4桁に制限しているという。この仕様に対してセキュリティ専門家の高木浩光氏は、「JALとANAには10年以上前に抗議した」と述べるとともに、「通常のリスト型攻撃であれば不正ログインされたサイトの運営者に非はないが、本件については全面的にANAとJALに責任がある」とコメントしている(togetterまとめ)。
情報元へのリンク
JALマイレージバンク、不正アクセスによりマイルが盗まれる被害 More ログイン