reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 7/31、JALが2段階認証を導入したという発表がありました。
 

JALマイレージバンク(JMB)会員の方に安心してJALホームページのサービスをご利用いただくため、一部機能のご利用時に、生年月日による2段階認証を実施しております。 2段階認証の対象となる機能をご利用の際には認証画面が表示されますので、画面表示に従い生年月日(西暦8桁)のご入力をお願いします。
JAL - JALホームページにおける2段階認証の実施について



 以前、取り上げましたがJALの認証には不安を感じていたので、「これは良いニュース」と思ったのですが……。

JALで不正ログイン発生! 2700万人にパスワード変更を依頼するもそのパスワードはなんと数字6桁(ANAは数字4桁) : I believe in technology
日本航空(JAL)が運営する「JALマイレージバンク」のWebサイトで、不正に「Amazonギフト券への特典交換サービス」が利用されたことが発覚、2014年2月2日 16時以降、特典交換サービスを停止しています。


 実際に使ってみると、他のシステムの2段階認証とは異なり、かなり残念な仕様であることがわかりました。

 他のシステムの2段階認証としては、過去に本ブログでもアップルやTwitterの2段階認証をご紹介しています。
 
 たとえばアップルの2段階認証は、ログイン時にIDとパスワードを投入後、SMSで事前に登録していた携帯電話やスマートフォンに送ったパスコードを入力することでログインが可能となります。
 
Twitter公式アプリが2段階認証に対応! 不正ログイン対策のため設定しましょう : I believe in technology
Twitterアプリを起動すると「ログインリクエスト」にログイン要求が表示されています。ログイン要求には、「位置情報、接続している端末のOS・アプリケーションの情報」が表示されます。その情報をみて、正当なログイン要求の場合は「チェックボタン(承認)」、覚えのないログイン要求は「×ボタン(却下)」をタップすればいいわけです。


 つまり、IDとパスワードだけでなく、携帯電話やスマートフォンといった信頼できるデバイスがないとログインができません。
 
 また、Twitterの場合、ログイン時にIDとパスワードを投入後、SMSもしくはTwitterアプリにログインリクエストを送ります。下記はTwitterアプリの例ですが、アプリ側で許可をしないとやはりログインができません。

不正アクセス対策に有効! 日本でも利用可能になった「Apple ID」の2段階認証を設定しよう : I believe in technology
サインイン時に毎回認証コードというものを生成し、その認証コードも入力しないとサインインできない仕組みとなっています。この認証コードは、あらかじめ登録しておいた「信頼できるデバイス」に、「iPhone を探す」の通知機能または SMS を使って送信されます。


 このように、アップルもTwitterもログイン時に2つの要素が必要となります。これはGoogleやFacebookも同様です。
 
 ところが、JALの場合、ログインはこれまでとなんら変わりません。会員番号と数字6桁のパスワードだけでログインできてしまいます。
 
 つまり、JALの場合はログイン時に2段階認証を使っているわけではありません。では、どこで使っているかというと、ログイン後の一部機能に対して使用しています。
 
 私が確認したところ、「会員情報の参照・変更」内の「会員登録内容の参照・変更」、「Eメールアドレスの登録・参照・変更」、「予約基本情報の参照・変更」、「JALマイレージバンク代理人の登録・変更・削除」、またマイレージの交換で2段階認証が求められました。
 
jal01.jpg


 ただし、ここで求められるのは他のシステムでよく利用されるランダムに生成される数字ではなく、「生年月日」で固定されています。
 
jal02.jpg
 
 
 これまでに比べると、不正ログインされても「会員登録内容の参照・変更」、「Eメールアドレスの登録・参照・変更」、「予約基本情報の参照・変更」、「JALマイレージバンク代理人の登録・変更・削除」を悪用される可能性が低くなるのは事実ですが、ログイン自体ができてしまうことから、この悪用へのハードルがあまり高くないことがわかりました。
 
 実は、ログインした状態であれば飛行機の予約が可能です。実際に予約を取る直前まで試してみたのですが、なんと「お客様情報入力」画面で「氏名」、「年齢」、「性別」、「電話番号」、「メールアドレス」が表示されてしまいました。

jal03.jpg

 
 さらに。
 
 先の「会員登録内容の参照・変更」内にある「JMB WAONカードへの切り替え」を選ぶと……。なんと住所まで表示されました。
 
jal05.jpg

 
 せっかく「会員登録内容の参照・変更」に2段階認証を設定していても、ログインさえできてしまえば、このように「氏名」、「年齢」、「性別」、「電話番号」、「メールアドレス」、「住所」は入手可能です。
 
 こうなると、JALの2段階認証は個人情報の漏洩防止にはあまり役に立たないことがわかります。もちろん、参照はできても「会員登録内容の変更」、「Eメールアドレスの変更」はできませんし、マイレージの交換もできませんから、まったくの無駄というわけではないのですがなんか残念な感じです。
 
 しかも、「氏名」、「年齢」、「性別」、「電話番号」、「メールアドレス」、「住所」が入手できると、攻撃者が生年月日を特定できる可能性はかなり高くなります。過去に他のシステム等で漏えいした情報と照らし合わせることで見つけることができるかもしれませんし、Facebookで検索することで誕生日がわかるかもしれません。
 
 このようになんらかの方法で「生年月日」まで入手されてしまうと、今回の2段階認証はまったくの役立たずになってしまいます。
 
 もちろん、これまでよりはマシですが、2014年2月2日に発表されたJALからの情報漏えい事件から半年も立って行われた対策がこの程度というのはなんとも残念な感じがします。
 
 もう少しマシな対策はできなかったのでしょうかねぇ、JALさん。

関連記事


JALのセキュリティはザル? 標的型攻撃により最大75万人の個人情報が漏えい |I believe in technology
JALで個人情報漏洩事件が発生したようです。


やられると思ってた ANAマイレージクラブに不正ログイン iTunesギフトに交換される : I believe in technology
ANA(全日空)のマイレージクラブで不正ログインが発生し、iTunesギフトに交換される被害が発生しています。


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。