無縫地帯

JALとANAのセキュリティの杜撰さに高木浩光先生が憤怒の狼煙を上げる

JALがマイレージサービスのウェブサイトに不正アクセスを喰らってなりすまし被害が出た問題で、10年以上前から問題を指摘してきた高木浩光先生が点滅して無敵状態になっています。

山本一郎です。東京が寒い寒いみんな言ってますが、こんなものは寒いうちに入りません。気合と根性が不足しています、いまの日本人は。

ところで、我らが高木浩光先生がTwitter上で怒りの狼煙を高々と上げております。

さあみんなで集団訴訟だ。やっとその時が来た。いつまで黙っているんだこの国の羊たちは。抗議せよ。証拠を挙げろ。過去の苦情が無視された事実を示せ。吊るし挙げよ。Hiromitsu Takagi
まさに激おこぷんぷん丸状態です。「吊るし挙げよ」という言葉は穏やかではありませんが、それだけの杜撰な行為が延々と続けられていたというお話でもあります。一体誰がそんな不埒なことをしていたのかといえば、我が日本が誇る航空企業の筆頭であるJALとANAの2社であります。

事の起こりは、残念ながらもはや日常茶飯事となってしまった感のあるネットでの不正アクセス事件の一つでした。

JALマイレージWebサイトに不正アクセス、約2700万人にパスワード変更を依頼(ITpro 2014/2/3)

日本航空(JAL)は2014年2月3日、同社が運営する「JALマイレージバンク(JMB)」の会員Webサイトへの不正ログインが判明し、JMB会員になりすました第三者がマイルを特典に交換するトラブルが多数発生していたことを発表した。ITpro
いやー、これは全然駄目な案件ですよね。

今のところ被害に遭ったと考えられるのは「約60人」と規模はそれほど大きくありませんが、この件で影響を受けるのは全JMB会員の約2700万人と莫大な数になっており洒落になりません。しかも、攻撃を受けたサイトのシステムには致命的な脆弱性があったことも明らかにされています。

JMB会員サイトでは、マイレージ番号(お得意様番号、数字7ケタか9ケタ)とパスワード(数字6ケタ)があれば、どこからでもログインできる。パスワードにはアルファベットなどを含めることができず、仕組み上、第三者によるなりすましログインに対して脆弱性がある。ITpro
6桁の数字しか使えないパスワードなど、今のPCの演算能力を使えばブルートフォースアタックという形で楽々と突破できてしまいますから、仮にパスワードを変更してもあまり意味がないというのが実情でしょう。恐ろしい話です。

当然のようにこの件が報道されるやいなや、高木浩光先生が即座に立ち上がるわけです。我らがネット民の期待を裏切りません。

ガタっ、ついに来たか。
--
JALマイレージWebサイトに不正アクセス、約2700万人にパスワード変更を依頼 http://itpro.nikkeibp.co.jp/article/NEWS/20140203/534282/ … @nikkeibpITproさんからHiromitsuTakagi
この後のツイートの流れは既にネット上にまとめが出来ているのでそちらを参照いただければと思いますが、

『完全にお前たちに責任がある』JALマイレージ不正アクセス判明に高木浩光先生が憤激(NAVERまとめ)

要点としては、4~6桁の数字しかパスワードとしての利用を認めないJALやANAのサービスは、どう考えても不正アクセス防止策を講じているとは言えず、もし損害が起きればその責任は全てサービス提供側にあり賠償を負うべきであるという趣旨が熱い言葉で切々とツイートされております。また、高木氏は10年以上前からこうしたパスワードのあり方が危険であると警鐘を鳴らしてきたにも関わらず、航空会社側はそれをずっと無視してきたという事実に注目しておきたいところです。

期せずして今回事件が起きたのはJALのサイトだけでしたが、公の場でこのような指摘を大々的にされてしまったANA側としては果たして何らかのアクションを起こすのでしょうか。あるいは、被害があったとしても「確認中」などとしていまだ発表していない状態なのかもしれず、成り行きをしっかりと見守りたいところです。まかり間違っても、変な逆ギレをして高木先生を名誉毀損で訴えるみたいな方向にならないことを願いたいですが。

で、高木氏のツイートに促されるような形で多くの方が興味深いツイートをされていましたので軽く拾っておこくとにします。

登録してる200個くらいのウェブサービス見直してみたけど確かに数字パスワードなのはJALとANAだけだった / “『完全にお前たちに責任がある』JALマイレージ不正アクセス判明に高木浩光先生が憤激 - NAVER まとめ” http://htn.to/RpzcCgまつした
そういえば、ANAのマイレージバンクのパスワード忘れて、窓口に行ったら生年月日ですよ、といわれてびっくりした記憶があるなmojin
以前ANAにパスワード4桁は短すぎるよと、問い合わせ窓口からメールしたのを思い出した。検討しますと断られたけどw / “『完全にお前たちに責任がある』JALマイレージ不正アクセス判明に高木浩光先生が憤激 - NAVER まとめ” http://htn.to/sTYfkGatshtkn
高木センセも書いてたけど、数回のエラーでロックかかるATMと、何度でもアタックできるネットのを同じに扱っちゃまずいわな。さて某クレカサイトは(6文字パス)直るかなと。 / “JALで不正ログイン発生!…” http://htn.to/NutRLx #パスワード #セキュリティ中杜カズサ
以前、ポイントシステムの構築に携わったとき、営業側のパスワードを数値4桁にしろという要求をはねつけるのに大変苦労した。営業側は攻撃がいかに容易かということをきちんと理解していなかったし。Naoya Ikeda
JALのパスワードリスト攻撃による、マイルを勝手にAmazonギフト券に変換されてしまう件。これまでも当然あったであろう被害がようやく明るみに出たのかという驚きと、これでやっと数字6文字とかいうふざけたパスワード仕様が改善されるであろう安心感とが交錯。Yukihiko Shibata
ここまで言われれば、JALもANAもこれまでの行いを悔い改めてシッカリとしたセキュリティ施策を講じていただきたいところですが、こうした事件は氷山の一角でしかありません。今年はさらに華々しい不正アクセス事件が多々起きそうな予感に充ち満ちております。次は一体どこがやらかすのでしょうか。高木先生ではありませんが、マジで一度、大規模な集団訴訟でも起きて企業側が相当に痛い目に合うような事例でもないとダメなのかもしれませんが、それが起きるのを待つのも誰得というか誰も得しないわけでして、なんとももにょってしまう話です。

あまりにも問題が大きすぎて、ヤフーの広告に勝間和代女史が表示されるようになってしまい困惑を隠せません。うっかり踏んでしまって読みにいったら意外にも勝間女史がまともな記事を書いていたので二度びっくりです。やっぱりやればできるじゃん勝間和代。

JALもANAも勝間和代女史を見習って往年の輝きを取り戻して欲しいと思います。