JALマイレージWebサイトへの不正アクセスに関する高木浩光先生のつぶやき

Hiromitsu Takagi @HiromitsuTakagi

ガタっ、ついに来たか。 -- JALマイレージWebサイトに不正アクセス、約2700万人にパスワード変更を依頼 http://t.co/Uf1gWZ1FAY @nikkeibpITproさんから

Hiromitsu Takagi @HiromitsuTakagi

ちょど先月あたり、ブログを書かねばと思っていたが、事件が先に起きてしまった。

Hiromitsu Takagi @HiromitsuTakagi

予定していたブログのタイトルは「パスワードリスト型攻撃に最も強いのはズバリ航空業界」。昨今、他のサイトから流出したID・パスワードのリストを用いた不正ログイン被害が続発する中、その攻撃に最も強いのはANAとJAL。なぜならパスワードが他と共通じゃないから。というもの。

Hiromitsu Takagi @HiromitsuTakagi

もちろんそれは皮肉。それ以前に、いわゆる「リバースブルートフォース攻撃」で簡単に被害者が続出するわけで、その指摘は、10年以上前にANAとJALにメールと電話で私は抗議した。その後、JALは数字4桁から数字6桁に「改善」したが、ANAは何もしなかった。ええかげんにせえよという…

Hiromitsu Takagi @HiromitsuTakagi

…ええかげんにせえよという記事を書くべく、10年前に抗議したときの電話を証拠に示そうと、録音を探したがなかなか見つからないので、後回しにしていたのだった。それが先に事件が起きてしまうとは。

Hiromitsu Takagi @HiromitsuTakagi

通常のリスト型攻撃であれば、不正ログインされたサイトの運営者に非はない（漏洩させたサイトが悪い）と言うべきと、これまで多くの専門家が啓発してきた。だが、ANAとJAL、お前たちはだめだ。完全にお前たちに責任があるのであり、全ての損害を補償し、賠償し、慰謝料に応じなければならない。

Hiromitsu Takagi @HiromitsuTakagi

JALは「パスワードの変更手続きをお願いいたします」https://t.co/Dmw1vQ4ZwF と、さも利用者が定期的に変更しないのが悪いかのごとく言っている。だが、数字以外、8文字以上の文字列を認めない、そんなものはパスワードじゃない。パスワード認証すらなかったと言うべき。

Hiromitsu Takagi @HiromitsuTakagi

この期に及んで、まともなパスワードの使用を認めず、「安心してサービスをご利用いただくため、JMBパスワードの変更手続きをお願いいたします」などと言うJAL、ANAには、全力で猛烈に抗議せよ。過去に危険を指摘した人は、その事実を示して、JALとANAに重過失があることを立証せよ。

Hiromitsu Takagi @HiromitsuTakagi

私が最初に抗議したのは、2000年4月（14年前）にANAに対してだった。きっかけはこういうメールが来たからだった。危険を認識し、被害の発生を認容していたことは明らかである。 http://t.co/1fSa1i7I2e

拡大

Hiromitsu Takagi @HiromitsuTakagi

当時の記録がここにある。 http://t.co/QvE1dtuKtG http://t.co/GJgAqPtEFd

Hiromitsu Takagi @HiromitsuTakagi

4桁数字の暗証番号がWebのログインでは許されない（ATMその他のリバースブルートフォース不可能な環境では許されるのに対し）ことは、10年前にさんざん啓発してきた。今更知りませんでしたなどという言い訳は絶対に許してはならない。 http://t.co/8EwuyhyE6x

Hiromitsu Takagi @HiromitsuTakagi

この問題はこの14年間、度々思い出しては、なんとか改めさせられないかと、何度もブログに書こうと思うものの、普通に書いてもインパクトがなく、「だよね。」で終わってしまうネタなため、書かないできた。それを、先月になって書こうと思い立ったのは、…

Hiromitsu Takagi @HiromitsuTakagi

…書こうと思い立ったのは、パスワードリスト攻撃が横行する中、ポイント換金狙いの被害が現実になってきたことから、「パスワードリスト型攻撃に最も強いのはズバリ航空業界」というタイトルを思いついたからだった。（それでもインパクトが足りないので、過去に抗議したときの録音を探していた。）

Hiromitsu Takagi @HiromitsuTakagi

先月、いよいよ書かねばと、いろいろ考えていたとき、「こんなの既に被害出てるんじゃないの？」と思った。これだけパスワードリスト攻撃が頻発しているのに、ANAとJALだけ狙われないはずがないわけで。結局、金銭被害が出て発覚し、隠せなくなって、このように明るみにでるわけだ。

Hiromitsu Takagi @HiromitsuTakagi

ANAに不正ログインがあった場合に換金被害につながるサービスが存在するのかは知らない。だが、不正ログインされれば、登録している住所、氏名、電話番号、メールアドレス、パスポート番号、勤務先、クレジットカードの下4桁と有効期限、を抜き取られるし、それだけではなく、…

Hiromitsu Takagi @HiromitsuTakagi

…それだけではなく、「過去の予約履歴」から、いつどの空港からどの空港へ行ったかという個人情報までもが盗み見られることになる。そういう被害は既に起きているのではないのか？

Hiromitsu Takagi @HiromitsuTakagi

ANAだけでなくJALも、今回の金銭被害が発覚する前から、個人データ漏洩の被害は起きていたのではないのか。あれだけパスワードリスト攻撃の被害が話題になっていたのに、被害状況を調べなかったとでも言うのだろうか。

Hiromitsu Takagi @HiromitsuTakagi

通常のパスワードリスト攻撃の被害なら、サイト運営者に告知する義務はないとも言える。なぜなら、他のサイトが漏らしたのが悪いのであるし、他のサイトと同じパスワードを用いている利用者に発生する被害だからだ。だが、ANAとJAL、お前たちは違う。4桁数字暗証は、安全管理措置義務違反だ。

Hiromitsu Takagi @HiromitsuTakagi

過去の予約履歴や登録情報が他人に閲覧されていたなら、個人情報保護法に言う個人データの漏洩であり、Webで4桁数字暗証などというのは、法第20条の安全管理措置義務違反である。他のリスト型攻撃事案とは異なり、主務官庁である国土交通省は、報告をさせて再発防止を勧告すべき事態である。

Hiromitsu Takagi @HiromitsuTakagi

今も残るJALの「パスワードの桁数変更についてのご案内」http://t.co/CDqjkC4hiT 変更させるせっかくの機会だったのに、普通の文字列パスワードを認めなかった。私はこれを見て「ああ、何を言っても無駄だな」と脱力した。 http://t.co/mwbiAsbxG1

拡大

Hiromitsu Takagi @HiromitsuTakagi

「セキュリティ強化のため」と自ら言っているように、この種の危険を認識し、被害が出ることを予見していたことがわかる。6桁なら安全だなどと担当社員が考えたはずがない。被害が出てもかまわないという経営判断だったのだろう。 http://t.co/mwbiAsbxG1

拡大

Hiromitsu Takagi @HiromitsuTakagi

JALは今回「関係当局と連携の上、迅速に事実解明を進めてまいります。」とまるで被害のような面をしているが、加害者だということをわかっているのかね？ 不正アクセス禁止法第8条（アクセス管理者による防御措置）違反で、警視庁と警察庁からお咎めがあって然るべき事案だとわかっているのかね？

Hiromitsu Takagi @HiromitsuTakagi

脆弱なアクセス制御機能を放置する行為は、不正アクセス禁止法の保護法益である「電気通信…電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持」（社会的法益）を害するものであり、第8条の努力規定は、欠陥を放置する側にも責任があることを示したものだ。

Hiromitsu Takagi @HiromitsuTakagi

日経BPの記事 http://t.co/Uf1gWZ1FAY によると会員2700万人中の60人に被害。暗証番号を乱数で攻撃した場合、6桁数字が当たる確率は100万分の1なので、全会員にトライして突破する数の期待値は27人。実際はありがちな6桁数字で試すのでヒット率はもっと高い。

Hiromitsu Takagi @HiromitsuTakagi

朝日新聞の記事 http://t.co/DphO1Tb6Ib によると、「利用者のパスワードが何らかの形で流出していたとみられ、日航は警察に被害を相談している。」とあり、JALは新聞記者に対して、他人のせいにしている疑いがある。