「JALマイレージバンク」に不正ログイン、マイル盗む 数字のみパスワードの強化策は「検討していない」

[ITmedia]

JALマイレージバンクのWebサイト

　日本航空（JAL）は2月3日、「JALマイレージバンク」のWebサイトに不正ログインがあり、一部ユーザーのマイレージが第三者によって引き落とされ、Amazonポイントに交換されていた可能性があると発表した。被害拡大を防ぐため、全ユーザー2700万人にパスワードの変更を呼びかけている（解説記事：JALマイレージバンクの不正ログイン、セキュリティと便利性のバランスが問題に？）。

　1月31日〜2月2日にかけ、計7人のユーザーから「自分のマイルが意図せず引き落とされている」という相談があり、調査したところ、不正ログインの可能性があることが発覚。2日午後4時以降、マイルをAmazonポイントに交換するサービスを停止した。

　ログを調査したところ、不正ログインを受けた可能性があるユーザーは60人。申告のあった7人の被害額は合計数十万円程度という。不正ログインの経緯は分かっていないが、現在のところ、同社サーバへの不正アクセスは確認していないという。

　同社はメールとWebサイトを通じ、全ユーザー2700万人にパスワードの変更を依頼。JALマイレージバンクのパスワードは数字6ケタだが、数字だけのパスワードが脆弱という認識は「ない」（同社広報部）としており、ケタ数を増やしたりアルファベットを加えるなどの強化策は「検討していない」という。

　全日本空輸（ANA）のマイレージプログラム「ANAマイレージクラブ」も、数字4ケタのパスワードを採用している。

2月4日午後8時50分追記

　その後の取材に対してJAL広報部は、「パスワードの方法を含めて今後の対応を検討していきたい」と話した。