JALマイレージのWebサイトで不正アクセスが発覚
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
日本航空の会員Webサイトに不正アクセスが行われていたことが発覚した。問題のサイトはマイレージ会員向けサイトで、会員が貯めたマイレージが第三者によって勝手にAmazonギフト券に交換されるなどのトラブルも発生しているという(日経ITpro)。
問題視されているのは、数字7桁もしくは9桁の「マイレージ番号」と、数字6桁のパスワードさえあればログインできてしまうという点。これについてセキュリティ研究者の高木浩光氏は「漏洩パスワードリスト型攻撃に最も強いのはズバリ航空業界。なぜならパスワードがユニークすぎて他サイトと共通になりようがないから。」と皮肉っている。
NHKニュースによると、被害者のアカウントには同一のIPアドレスからアクセスされていたとのこと。
なお、どのような手口で不正アクセスが行われたかは不明だが、同社は対策としてパスワードの変更を行うよう会員に告知している。また、ITmediaによると、同社は数字6桁のパスワードが脆弱だとは認識しておらず、この仕様を変更することは検討していないという。もし辞書攻撃や総当たり攻撃による不正アクセスだった場合でもその認識を変えないのか、今後の動向を見守りたい。
JALマイレージのWebサイトで不正アクセスが発覚 More ログイン