JALホームページで不正ログイン
JALは2月3日、JALマイレージバンク’JMB)特典の「Amazonギフト券への特典交換サービス」を一時停止したと発表しました。
何でもJALホームページから不正ログインがあり、意図しないマイル交換が行われたケースが確認されたためとのことです。

     https://www.jal.co.jp/info/jmb/140203.html

JALはこの件について調査中、関係機関に報告し、迅速に事実解明を進めていくとしています。
JALの上記ページには「Amazonギフト券以外の特典交換サービスへの影響は現時点で確認されておりませんが、詳細調査中であるため、安心してサービスをご利用いただくため、JMBパスワードの変更手続きをお願いいたします」としています。
僕もあわててチェックしましたが、僕のアカウントは大丈夫(今のところ被害は60人ほどと・・・)。
でもJMB会員は確か2700万人規模、まだまだ隠れた被害が出ているかもしれません。
これはセキュリティが甘かったということなのでしょうか(数字6ケタ、ANAは4ケタ)。
確かにアルファベットの入らないパスワードなんて最近少ないですよね。
JALは原因究明とあわせて、セキュリティ・システムの再考と、ホームページの再構築が急務でしょう。
by shackinbaby | 2014-02-04 13:49 | 旅行 | Comments(9)
Commented by nagi at 2014-02-04 18:55 x
両者ともクレジットカード番号の運用のように扱ってますね。
パスワードはセキュリティコードのような。
でも、航空券にはバッチリ印刷されちゃいますし、数字だけのパスワードなんてあっという間に突破されてしまいますからここはちゃんとしたカード運用を考えるべきでしょう。

携帯電話を落とした時のICチップの対応で電話したことがありますが、結局大本のカードの再発行になってしまうのがあまり考えられていないシステムになっていると思います…。
カード情報を登録するところはその扱いに最新の注意を払って欲しいですよね。
Commented by ほまれ at 2014-02-04 20:23 x
JALが4桁から6桁に変更した時に一度電話で、英数字の8桁以上じゃないと意味ないですよぉ〜と電話したことがありましたが、現実に
やられましたね。

恐らく6桁数値のみだと数分で解読されるのでは?
Commented by ホテラバ at 2014-02-04 22:45 x
すみません、hoterabaは僕の誤入力でした。
JALのマイルから引きかえたアマゾンのギフト券はメールで送られてきますよね。つまり、ギフト券を受け取るメールアドレスが、会員が登録したものから改ざんされていたと。これには愕然としました、そこまでできるのかと。
Commented by shackinbaby at 2014-02-04 23:46
>nagiさん
認証パスワードが数字6ケタは確かに弱そうですよね。
でもこれ、犯人側にしたら、あまり効率の良いものじゃないですよね。
アマゾンで何か買って、それを売りさばいて、やっと現金?
何か高校生がアイドルのCD代あたりにやってたりして・・・。
Commented by shackinbaby at 2014-02-04 23:46
>ほまれさん
ちゃんともう予想されてご意見されていたのですね。
JALも今頃大慌てでしょう。
会員はパスワード変えても、今のままではそのセキュリティの脆弱性は変わりませんもの、意味なさそうです。
Commented by shackinbaby at 2014-02-04 23:47
>ホテラバさん
あ、そうでしたか、良かった、なんか余計な心配しちゃいました。
僕もこういう事には本当に弱いんで、メールアドレスまで変えられちゃうとかにはびっくりです。
Commented by nagi at 2014-02-04 23:56 x
基本的にセキュリティって鬼ごっこなので「これだ」という解答はないんだと思います。
6桁の認証なら総当りでも自動化しちゃえば現実解ですし、メールアドレスの変更さえも自動化に組み込んでしまえば良いわけで。
そして高価な換金率の高いもの…
例えば
ロレックス ROLEX デイデイト プレジデントブレス 118366 アイスブルーローマ なんて¥ 9,658,000というお値段で売りに出てますから(^_^;;;
割に合う方法もあるということでしょうかね?
(しかしアマゾンギフト券で買った途端バッチリ足がつくような気がしますけれどね
Commented by shackinbaby at 2014-02-05 11:10
>nagiさん
「アマゾンギフト券で買った途端バッチリ足がつくような気がしますけれどね」に僕も同意です。
なのでプロが換金用にやることじゃないよなぁ・・・なんて思っちゃいました、
Commented by 古代 at 2014-02-17 00:54 x
借金君が何故こんなにも?
名前
URL
削除用パスワード


<< 多謝、香港 (19) 「ジ・ア... 多謝、香港 (18) 「ジ・ア... >>