無縫地帯

セキュリティが破綻する原因の残念さは世界共通

改めてANAの会員Webサイトをはじめとした不正アクセス事件に関して考察してみたいと思います。

山本一郎です。利用客からはマイルが盗まれ、航空会社の情シス部門からはスマイルが消えております。だっはっはっは。

で、数日前の話となりますが、ANAの会員Webサイトにおいて不正アクセス事件が起き、一部ユーザーのアカウントからマイルが盗まれるという事件がありました。

ANAマイレージのサイトで不正ログイン、9人の計112万マイルが不正交換被害(INTERNET Watch 2014/3/11)

全日本空輸株式会社(ANA)は10日、ANAマイレージクラブ会員向けのサイトに不正ログインがあり、会員のマイルがiTunesギフトコードに交換されていたと発表した。9人の会員の合計112万マイルが、iTunesギフトコード約65万円分に交換された可能性があるという。INTERNET Watch
また、今から遡ること約1か月前にも、JALの会員サイトで全く同様な事件が起きていることはご存じの方も多いでしょう。

今回のANAの件にしてもそして以前のJALにしても、会員サイトのログインシステムには4~6桁の数字だけをパスワードに採用するという最も単純な部類に属するセキュリティが導入されていたため、比較的簡単に不正アクセスできてしまう危険性を抱えていました。その辺りを早急に改善すべきだという話は拙ブログの過去記事でも書いております。

JALとANAのセキュリティの杜撰さに高木浩光先生が憤怒の狼煙を上げる

当然ですが、JALの事件が起きた直後にはそういう疑問がメディアからANAへも問われ、以下のような回答が広報担当者から表明されていました。

「不正アクセスに対する対応の重要性は認識しており、日々の監視に加え、新たなリスクに対しては適時対応を行っているため、問題はないと理解している」と答え、数字4桁のログイン認証に関しては「これまで同様、引き続きセキュリティー強化の観点から様々な対策を検討し、実施していく」としている。J-CASTニュース
しかし、そうした様々な対策を検討しつつも実施するまでに至らずでぼんやりしていたら、まんまとやられてしまったということなのでしょうか。我らがヤフージャパソのように「爆速」での対応が出来なかったのは返す返すも残念至極です。

で、ちょうどのタイミングで海外記事に以下のような興味深いものがありました。

Targetはクレジットカード情報の盗難の危険性を事前に知っていて, 何も対策しなかった(TechCrunch Japan 2014/3/14)

Bloomberg Businessweekに載った苛烈な記事によると、リテイラーのTargetは、同社のセキュリティシステムに危険が生じたことを知らされてから二週間も、その事態を放置した。TechCrunch Japan
歴史的な事件となった米Targetの大規模なクレジットカード情報盗難ですが、なんとそうした事態が起きる可能性は事前に察知されており、その警告がセキュリティ会社から通達されたにも係わらず、Targetは何もしなかったという不思議な話であります。これが事実だとすれば、Targetの責任はもはや逃れられるものではありません。なお、元ネタとなるBloomberg Businessweekの記事は5ページにも渡る長大なものですが読み物としてかなり面白いので、英語を苦とされない方にはご一読をお薦めしておきます。

予めセキュリティが破綻することは分かっていながら対策はしないという姿勢と、4桁や6桁の数字だけのパスワードならいつかは破られるだろうけれどとりあえず今は大丈夫と考えてしまうメンタリティは似ており、こうした発想のあり方は一つの国に留まらず世界共通のようです。これもまた人の性なのでしょうか。

ただ、やはり企業のモラルとしてそういう思考の停止状態みたいなものはあってはならないわけでして、即刻改善されるべき話でもあります。ANAの事件の直後、我らが高木浩光先生はTwitterで「国土交通省の個人情報保護担当部局に、ANAとJALの安全管理措置義務違反について苦情を申し立てます」とツイートされておりましたが、その後どうなったのかが気になるところでもあります。

利用者としては一刻も早くいマイル人員で可能な限りの対応を願いたいものです。だっはっはっは。