ニュース

不正ログイン、勝手にマイル交換、日航、パスワードに落ち度?、6ケタの数字、解読1円以下で。

2014.02.05

 数字6ケタのパスワードの企業での利用は言語道断――。日本航空(JAL)のホームページが不正に利用された事件で、セキュリティーの専門家は日航のサイトが採用していた安全性の低いパスワードを問題視している。企業がウェブサイトや情報システムにどうパスワードを設定すべきかを考え直すきっかけになりそうだ。
 事件は日航が運営するJALマイレージバンク会員7人のマイル数十万円分が、勝手にアマゾン・ドット・コムのサイト上で使えるギフト券に不正に交換されていたというもの。アマゾンのギフト券は会員本人とは別のメールアドレスに送付されていた。
 日航は2日午後4時以降、マイル交換サービスを停止。ホームページやメールを通じてマイレージの会員約2700万人にパスワードの変更を要請した。不正発生の経緯については「捜査当局と連携し引き続き調査中」(日航広報部)という。
 数字6ケタのパスワードを使うシステムについて日航は「利用者の操作性とセキュリティーレベルとのバランスを考えた」と説明する。出発間際の予約変更やスケジュール確認などを携帯端末からする際の操作性が求められていたことが背景にある。
 今後の再発防止策には詳しい調査を経て本格的に取り組む。現時点では、マイルを特典などに交換する際に新たに安全性の高いパスワードを使えるようにすることが検討課題になっているという。
 セキュリティーの専門家は日航のマイレージ交換サイトの設計そのものを疑問視している。「数字6ケタしかパスワードを設定できないシステム側に問題がある。セキュリティーの観点では論外」。パスワード管理に詳しいNTTデータ先端技術の辻伸弘氏はこう話す。
 マイレージ交換サイトのパスワード設定ルールによると、会員の生年月日や電話番号、住所の数字部分、111111など同じ数字の連続、123456など連続する数字は使えない。並び順を逆にしても使えない。
 情報処理推進機構(IPA)によれば、数字6ケタのパスワードの解析コストは1円以下。日航はログインが一定回数以上失敗した場合にアカウントをロックするため、個別のアカウントに対する攻撃回数は限られるが、攻撃者がその気になればひとたまりもない。
 解析されやすいパスワードの利用が増えると「リバースブルートフォース」と呼ぶ攻撃が簡単になる。「123123」といった使われやすいパスワードを設定し、IDを変えてログインを試行し続けるものだ。日航のサイトのIDは数字7ケタか9ケタ。高性能のコンピューターを使えば総当たりでログインを試みる力業も容易だ。
 IPAはパスワードを狙った攻撃の多さやサイトで扱う情報の性質を考えると「パスワードは8ケタ以上にし、英数大小文字を組み合わせた強固なパスワードに設定すること」を勧めている。NTTデータ先端技術の辻氏も「6ケタのパスワードを変えられないのであれば、設定変更や金銭関連サービスの申し込みには携帯電話などに使い捨てのパスワードを送るといった2要素認証の仕組みが必要ではないか」と指摘している。

  日経産業新聞,2014/02/05,3面