【不正ログイン】日本航空広報部「数字だけ６桁のパスワードが脆弱という認識は無いが、今後の対応を検討したい」

★「JALマイレージバンク」に不正ログイン、マイル盗む　数字のみパスワードの強化策は「検討していない」

日本航空（JAL）は2月3日、「JALマイレージバンク」のWebサイトに不正ログインがあり、一部ユーザーの
マイレージが第三者によって引き落とされ、Amazonポイントに交換されていた可能性があると発表した。
被害拡大を防ぐため、全ユーザー2700万人にパスワードの変更を呼びかけている。

1月31日〜2月2日にかけ、計7人のユーザーから「自分のマイルが意図せず引き落とされている」という
相談があり、調査したところ、不正ログインの可能性があることが発覚。2日午後4時以降、マイルを
Amazonポイントに交換するサービスを停止した。

ログを調査したところ、不正ログインを受けた可能性があるユーザーは60人。申告のあった7人の被害額は
合計数十万円程度という。不正ログインの経緯は分かっていないが、現在のところ、同社サーバへの不正
アクセスは確認していないという。

同社はメールとWebサイトを通じ、全ユーザー2700万人にパスワードの変更を依頼。JALマイレージバンクの
パスワードは数字6ケタだが、数字だけのパスワードが脆弱という認識は「ない」（同社広報部）としており、
ケタ数を増やしたりアルファベットを加えるなどの強化策は「検討していない」という。

全日本空輸（ANA）のマイレージプログラム「ANAマイレージクラブ」も、数字4ケタのパスワードを採用している。

2月4日午後8時50分追記

その後の取材に対してJAL広報部は、「パスワードの方法を含めて今後の対応を検討していきたい」と話した。

http://www.itmedia.co.jp/news/articles/1402/04/news075.html

2

認識不足だな

これは参るわ

認識がないなら改めて認識しろ、いや噛み締めろ！

えっバカだろ

>>1
IC免許ですら８桁だぞ。

いや脆弱だろ

123456

その認識ではまたやられるｗ

つまり人を変えましょう

クレカも数字４桁だもんね

よりによって、ユーザー様個人の資産に関わる
というのに、あきれたものだね

うわー、こんなことを公式に発言する会社ってどんだけクズなんだ？ここまで周りを見れない連中しかいないから倒産するんだよ。

はいはいｗ　無料入力ソフトとか、怪しいアプリとか、内部流出を隠蔽して、外部アタックと見せかけるとか。。。

おい、おいいいいｗｗｗ

べつにいいんじゃね？
日本航空がすべて補填してくれるなら

いや認識不足だろそれは

数字6桁じゃあ再発間違いなしだな
ツールでさくさくやられるぞ

100万通りなんてすぐじゃねえのｗ

脆弱です

税金で生かしてもらってこれだよｗ
稲盛と前原は簀巻きにして羽田アナゴの餌にすべき

どうせやられた奴は連番とかゾロ目だろ

き・・・脆弱

糞みたいなサービスでも数字6桁はねーぞ

6桁って銀行並みに即ロックとかしないとやばいよな

(#ﾟДﾟ)っttp://fsm.vip2ch.com/-/hirame/hira031505.jpg

間違いは1日5回まで、3回間違えばウェイト1分とかの対処してたんかな

数字だけ６桁って００００００から９９９９９９までの内のどれかじゃん
こんな簡単な１００万通りのパスワード解読なんて
パソコンで２秒も掛からないだろ

なにこれパスワード当たるまで無限にログイン出来るの
３回間違えたら弾けよ

数回連続で間違えたら凍結、失敗も含めてログインを試みたIPの履歴残す
これくらいは最低限やってるの？

脆弱な頭だ。
引きこもりのパソコンの大先生のが、まだましな管理ができそう。

英数字だけで記号入れれないと不安になる昨今に？

数字６桁とか。
こんなのサービスを利用する方の頭がどうかしてる。

どうせ特典航空券ゲットなんてほど遠いんで、たんにSuica風改札にしか使ってない。盗まなくてもこちらから進呈するよ＞マイル

数字だけ6桁って弱すぎるだろ(´･ω･`)

数回間違えたらアウト！にしてるなら大丈夫なはずやけどなあ。
脆弱という程では、ないよ。

銀行の暗証番号も英数字で桁数も増やしてほしいわ

2700万人が使用しているのに暗証番号は100万通りか。

内部犯行か、関係者(旅行代理店など)じゃないのか？

パスワードどころか、まず、JALのユーザ番号が何桁もあるだろ。
この番号を60人分手に入れた奴がいるはずだ。

つーかマイルとかポイントとか廃止してほしい(´・ω・`)

まさか？、ロックアウト機能なし？

６桁数字のみじゃ、３回ミスったら使用不可にするぐらいじゃないとヤバいと思うんだが。

無料のパスワード管理ソフトって怖いよね
ビッグデータ云々で個人情報を抜かれているという報道聞いても、いろんなサービスが
無料で利用できるんだからそのくらいいいだろ、と個人的には問題なしと思う俺でも、
あれだけは使えない

使用する文字の種類　　　　　　　　　　　　使用できる　　　　　入力桁数
　　　　　　　　　　　　　　　　　　　　　　　　　　文字数　　 4桁　 6桁　　8桁　　10桁
--------------------------------------------------------------------
英字(大文字、小文字区別しない) 　 26　　　　3秒　37分　 17日　 32年
英字(大文字、小文字区別)＋数字 　 62　　　　2分　5日　　50年　 20万年
英字(大文字、小文字区別)＋数字＋記号　　 93　　　　9分　54日　 千年　 千万年

パスワードはなぜ8文字以上にするのか
//www.waseda.jp/mnc/letter/2011sep/end_column.html

今時12桁以下のパスワードなど脆弱の極みだろ

入られてんだったら無駄な遠吠えだな

カードの暗唱番号とかと同じようなノリなんだろうなあｗ

古いシステムをザルなまま使ってたのかな。
未だにその手の古いシステムなんて幾らでもあるだろうけどさ。

現金化したとこで犯人がバレないのか？

6桁でもいいんだけど
数回間違えたら停止位にしないと駄目だろ
現状では何度間違えてもOKだし

そういう甘い認識で、
迷惑かかるのは誰なのか
会社か？

>>41
ロックされるのを避けるために、パスワードを例えば123123とかにして、
IDの方を順番に切り替えて総当たりする攻撃があるらしいよ。

６桁だと100万通りで、会員2500万人だそうだから、単純計算で同じパスワードの人が25人いることになるので、気長にやれば当たるのか？

数字6桁って8bitパソコンの時代のパスワードですね

今までは引き換え商品が原則、本人に恩恵のある特典航空券とか
あるいはあらかじめ紐付されたWAONで、WAONは引き換え可能日まで約2日の
タイムラグがあったんだけど、
アマゾン特典の場合、すぐにクーポンコードが表示される仕組みだからなぁ。
ここらへんも悪用された原因だと思う。

数字だけ6桁て一瞬で終わるだろ。
これは企業側の過失を問えるな。

アマゾンポイントって匿名で使えるんか？

>>50　やめて〜　今でもパスワードがどれがどれだかわからん状態になってるし。

パスワード変えたくても混雑でログインすら出来ないんだけど・・・
みんな総当りで試すの止めろよｗ

>>18
数字６桁だけなら１秒で全通りをチェックできるよな。

>>1
今時、これだけの昭和脳の会社も貴重だねぇ

>>1にも書いてあるがANAなんて数字４ケタだからJALとは桁違いに脆弱
ちなみに俺ANAなんだよね

バカすぎる。

パスワードって入力した文字が判らないので、自分で間違ったことに気がつかない。
なんとかならんの？

>>63
コピペ

そんなメールは来てないぞ
どうなってるの？

>>52
同一IPからの一定数の連続接続を拒否するか、5分程度おかないとダメとかやりようはあるだろ

銀行の暗証番号程度の認識なんだろ
ネット銀行がどの程度のセキュリティなのか知っていれば見当違いの発言にはならないはず

ま、システムが古すぎるってのがそもそもの癌なんだろうけど

直接アクセスして試していく形ならアカウントロックで対処出来るが
仮に鯖からハッシュ値を盗まれても暗号化してあるので大丈夫とか言いそう

>66
それも、ボットネットとかから分散アクセスされたら対策難しいよね、って話もあちこちに書かれてて、読みながら勉強ちう。

パスワードこのままで安全性を高める方法あるのかな？

ANAは4桁でも問題起きてないからすでにやってるのかも。

よくありげなルールで掘ればザックザックだろうな

俺の一番初めに唱えた6桁のパスワードの脆弱性が
広がってる。　6桁が脆弱云々より５回間違えたらロックアウトする仕組みにしろよと。

JALからパスワード変更するようにメール来てるけど
パスワード変えても意味ないんだよな。

>>61
セキュリティの穴かANAだけに

２ちゃん基準なら大甘。ここまではあたりまえ。


こういうシステムは、じじばばも使うんだわ

そもそもマイルを大量に持っているアカウントにありつく
確率が低いからあまり効率的とは言えんよな。

カードを手にする機会のある関係者ならすぐログインIDはｹﾞﾄできるのも脆弱。

８桁の英数のパスワードを解析するのにかかるコストって２１円だってよ。
６桁の数字なんてただ同然だろう。

脆弱という認識は無いなんてｷﾘｯと言ってる場合じゃないっての。

オンラインバンクは厳しいよな
複数パスワードを要求＋パスワード数回間違えるとロック
しばらく使ってなくてパスワードがあやふやな銀行口座に、心当たりのあるパスをいくつか
入力してたらロックされたわw

俺のエロPCのパスワードでも英数12桁なのに

アホだな
マイルに一個一個番号つけとけばいいんだよ
盗まれたマイルを誰が使ったか一目瞭然だろ
ほんとバカが多すぎる

>>80
amazonでコンビニ受け取りとかオンデマンドとかだと判らないんじゃない？

数字六桁のみが脆弱という認識が無いという情弱w

ブルートフォースアタックがきくのかどうかが問題

>>36
いや脆弱だろ。パスワード固定でIDを変えていけばそのうち入れるアカウントにぶち当たる。

このコメント、セキュリティ責任者は処分ものだよな。

脆弱だから、アルファベット使ったり大文字混ぜろとか言われるんですが...

電話使ってパスワード入力させるから
数字じゃないと都合悪いんだろうけど、
パスワードロックアウト制ぐらい導入しとけよ、馬鹿野郎と。

その認識ではネットサービスを運営する資格なし

まあ日本では大金を扱うネット証券会社ですら8ケタのパスワードだからな
わざとネットで不正できるようにしているとしか思えない

>>39
お前の頭もJAL並にアホウということはわかった。

ネット銀行なんて決済専用で
少額しか置いてねえよ

本当にため込んでおく口座には
キャッシュカードすら作らないよ

JALのデフォルトパスワードって、
登録電話番号の市内局番だったじゃん。

脆弱じゃないのなら、変更しなくてもいいだろ

クレジットカードやキャッシュカードなんて4桁の数字だけやで

JALじゃなくてZALだな、こりゃ。

にんしきしろｗ

100万パターンしかないから高性能PCでブルートフォースアタックされたら一瞬で終わりじゃん

ANAなんか４桁だもんな

数字六桁はだいぶ脆弱な方だろ？

せめてアルファベット加えて8桁くらいにしとけよ
それでどれだけ違うのかはよくわからんけどw

チャリンコの鍵じゃあないんだぞ

難読漢字込みでパスに出来るようにしろ

これS級はぐれメタルの発言だろw

そのポイント使った奴特定できないのか？
そいつに商品送ってるだろ

ここで今更文句いってるやつは
マイル持って無かったの？

そのほうが驚愕だわｗ