誰も書かないマイレージのパスワードが数字の理由と航空会社がすべき事

「JALマイレージバンク」に不正ログイン、マイル盗む 数字のみパスワードの強化策は「検討していない」 - ITmedia ニュース

JAL マイレージに不正ログインが発生し、パスワードが数字のみであることから Twitter やブログなどで、「パスワードの仕組みを改善するべきだ」って意見だけがぐるぐる空回りしてるようなので、

1.なんでマイレージクラブが数字だけのパスワードなのか
2.JALやANAはどうすべきなのか

を述べることにします


1.なんでマイレージクラブが数字だけのパスワードなのか

ログイン時に数字だけのパスワードを使っているのには訳があって、他にも似たような事例があります

札幌市公共施設予約情報システム

電話(音声応答)を使う場合は、パスワードは数字のみなのでしょうか。

A.パスワードは6桁以上の数字のみです。申請書にも6桁以上の数字のみで記載してください。なお、6桁の数字のみであってもインターネット(パソコン用、携帯電話用)も利用可能です。
また、登録後にインターネット(パソコン)、インターネット(携帯電話専用)、電話機(自動音声応答)で変更することができます。

予約管理システムについて - 東京 調布のゴルフ練習場・ゴルフショートコース・テニス レンタルコート - 東宝調布スポーツパーク

    ※このパスワードはTSPカード申し込み時にご記入いただいた
    「誕生日」を元に設定しています。
『パスワード変更』より、自分の好きなパスワードに変更
    ※パスワードは数字のみで4桁以上(~10桁まで)です。
    ※同じ数字の羅列は使えません。

これを見てわかっただろうか?
わからない場合はこれを見ていただきたい。

ETCマイレージサービス/ポイント交換方法の種類/ポイント残高のお知らせ

 [2]自動音声ダイヤル

 以下の電話番号でご利用いただけます。(24時間対応。ただし、トーン信号を発することができる電話からに限ります。)

050-2015-1010

お手元にマイレージIDとパスワードをご用意いただいた上で、お電話をおかけください。

自動音声ダイヤルでは、還元額やポイントの残高照会、パスワードの変更、マイレージの利用停止などを行えます。

●ご利用方法
ダイヤル

050-2015-1010
 
こちらはETCマイレージ自動音声ダイヤルです。音声案内に従って操作してください。
ダイヤル回線の方は、1度トーンボタンを押してから操作を始めてください。
 
はじめにマイレージIDを入力し、シャープ(#)を押してください。
○○○○○○○○○○○○#
 
パスワードを入力し、シャープ(#)を押してください。
○○○○○○○○○○○○# (数字のみ6~8桁)

わかっただろうか?

要するに電話のトーンダイヤルを利用したサービスと結びついてるのだ。

今回は、不正ログインが試行されたのがひとつのIPアドレスからだけとの報告があるのですが、
もし、自動発信装置をプログラミングして、ブルートフォースアタックを施行するようにしてしまえば
電話を利用してハッキングすることも可能になってしまいますね

ANAやJALがこのシステムのパスワードを数字から変えたくないのは、既存の電話を利用した予約システムがあるからで、改善には膨大なコストがかかるのではないかと考えてるからでしょうね。
#既存の電話システムから金銭に関わる機能は削除して、パスワード二重化すればいいということには考えが回ってないんでしょうね。要するに頭が固いんだよ・ω・

2.では、ANAやJALはどうすべきなのか。

・パスワードを二重化する。
 電話サービス用のパスワード(数字のみ) と PCやケータイからのログイン用のパスワード(英数混合)の2種類利用できるようにする。
・まず、電話から利用できるサービスを縮小する。
 予約や予約確認、マイレージポイントの確認程度にとどめて、換金などの機能はオンラインでの手続きが必要にする。
・電話サービス用のパスワード(暗証番号)の改善
 4桁だと誕生日等にする人が多いため上2ケタが01~12と下2桁が01~31を禁止する(これだけで365通りが6000通りの強度、上下2桁が共に真にならないようにすれば 10000-372通りになるので
9628通りの強度になるというのが簡単に実装できる。
・可能なら、桁数をもっと増やす。→6桁になったのが 2004年らしい
備考:
インターネット用暗証番号の変更:操作方法|ゆうちょダイレクト
ゆうちょダイレクトが6~8桁
西日本シティ銀行:ログインパスワード・取引暗証番号のセキュリティ強化のお知らせ
日本シティ銀行は4~12桁で、個人情報関連数値はブロック

調べてみると大手は殆ど、8桁以上扱えますね。

まぁ、コストをかけずにやるにしても、最低限これはやらないとダメだろうと思います・ω・

多分、「莫大なコストをかけた電話システムが使えなくなるじゃないか!」ってのに固執して、二重化する、数字のみのパスワード利用では制限をかけるってのが頭に無いんじゃないかな?

というわけで、誰も語らない、JAL や ANA の ログインパスワードが数字の理由でした。



2月3日

今も残るJALの「パスワードの桁数変更についてのご案内」 変更させるせっかくの機会だったのに、普通の文字列パスワードを認めなかった。私はこれを見て「ああ、何を言っても無駄だな」と脱力した。

JALCARD MEMBER'S ROOM [パスワードをお忘れの方]

2004年10月17日よりアクセス番号の桁数が4桁から6桁に変更され、名称も「パスワード」に変更となりました。
6桁への変更手続きがお済みでない方は、JALホームページのパスワード(旧アクセス番号)の桁数変更についてのご案内をご参照のうえ、変更手続きを行ってください。
パスワード6桁へ変更後、メンバーズルームがご利用になれます。

調べたら4桁から6桁になったのは10年前らしいよ!・ω・ ひろみつ先生!

#おまけ

なんか、パスワードの変更を呼びかけているようだけど、効果があるかどうかを数学的な理由で示してみよう。

1.通常4桁のパスワードを破るために必要な試行回数の期待値は 5000回
2.n回パスワードを変えた場合にパスワードが破られるために必要な試行回数の期待値を考えてみる。
3.パスワードをかえる前に破られていた場合、n回に意味はなくて、既に破られた時に試行された期待値は5000回
4.パスワードをかえてからアタックされた場合も、n回に意味はなくて、既に破られた時に試行された期待値は5000回
5.アタック中にn回施行された場合、変更後にパスワードが合致してしまうこともあるわけで、計算は割愛するけど、これも実は5000回が期待値。

何回パスワードを変更しても数学的には意味が無い。
つまり、定期的にパスワードを変更することにも、ハッキングされた後ハッカーが再度入れないようにするという理由以外には全く意味が無い。

ハッキングされてたら、全部換金された後だろうし、同じアカウントに何度もアタックするのはまずないっすよね?
というわけで、パスワードの変更を勧めてることについてはこう言わせてもらおう
baka
(C)GAINAX・カラー/Project Eva. Copyright Bandai Channel Co., Ltd. All Rights Reserved.

おすすめ

4件のフィードバック

  1. 通りすがり より:

    #おまけ の部分は本当にその通りだと思います。
    数字に限ったことではありませんが、他のwebサイトでも同様に「定期的なPWを変更を」とか言っていますが
    定期的に変更するのはいいけど簡単なパスワード(4~8桁)のパスワードだと総当たりされたらハックされる確率は同じですよねぇ。

  2. S より:

    電話サービス用パスワードの改善の項の、上下2桁数値制限は逆効果ではないですか。
    4桁パスワードを破るための期待値が3000回位まで下がってしまいます。
    上2つの改善を行い、電話サービスでは重要なデータへのアクセスや操作をできなくするのであれば、不要だと思います。

  3. ほたてマシン より:

    発信者番号って偽装簡単なのかな?
    発信者番号通知してないとアクセスできない様にすれば少しはマシな気がするけど…

  4. ほたてマシン より:

    と思ってちょっと調べたら、発信者番号偽装は既に可能で被害も出ていたのですね。
    注意しないと!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です