JALマイレージバンクの不正ログイン、セキュリティと利便性のバランスが問題に？

JALマイレージバンクのパスワードでは6桁の数字を使用しているが、「利用者の使い勝手にも配慮しなければならなかった」と同社では説明している。

[ITmedia]

「JALマイレージバンク」のログイン画面

　日本航空の「JALマイレージバンク」で不正ログインが発覚したことについて、ネット上ではユーザー認証に「数字のみのパスワード」が使われていたことを問題視する意見が目立つ。これに対して日本航空は、「大半の会員が携帯電話やスマートフォンを利用しており、入力時に負担をかけないよう配慮していたため」（広報部）と説明している。

　JALマイレージバンクの会員ログインでは7桁もしくは9桁の「お得意様番号」と、6桁の数字によるパスワードを採用している。不正ログインの原因は取材時点でも調査中のため、実際に6桁の数字によるパスワードが原因となったのかは判明していない。

　不正ログインなどのためにパスワードを突破する方法としては、文字の組み合わせを総当たりで試す「ブルートフォース攻撃」や、頻繁に使われる文字列等のデータベースを使う「辞書攻撃」が有名だ。また、昨年からオンラインサービスなどで横行している不正ログイン事件では、ほかのWebサイトから流出したとみられるパスワードを用いる「パスワードリスト攻撃」も出現した。

　パスワード認証では数字やアルファベットを組み合わせるのが一般的だが、上述のような攻撃手法が使われた場合に、JALマイレージバンクの採用している「6桁の数字」では容易に突破されかねないという指摘が目立っている。

　日本航空も以前にパスワードが突破される可能性を考慮して、当初は4桁の数字だったJALマイレージバンクのパスワードを2004年10月17日に6桁の数字に変更している。ただ、空港でのチェックインなどを始めモバイル環境で利用する会員が非常に多いことから、携帯電話の10キーでスムーズに入力できることにも配慮し、「数字のみ」という点は変更しなかったようだ。

　なお、同社は先の取材で「強化策の検討はしていない」とコメントしたが、改めての取材で「原因の特定を急ぐとともに、パスワードの方法を含めて今後の対応を検討していきたい」（同）と話している。

Webサイトでは質問の多い内容と説明を掲載している