1. まとめトップ

『完全にお前たちに責任がある』JALマイレージ不正アクセス判明に高木浩光先生が憤激

2014年2月3日「サイバーセキュリティの日」に発表されたJALマイレージWebサイトの不正アクセス。これまで様々なWebサービスがパスワードリスト攻撃による不正アクセスを受けていましたが、本件は事情が違うようです。以下、高木浩光先生のツイートを中心にまとめています。

更新日: 2014年02月05日

emo.tamさん

  • このまとめをはてなブックマークに追加
25 お気に入り 156797 view
お気に入り追加

↑ その後の動向をこちらでまとめています。

2014年2月3日、政府が定めた「サイバーセキュリティの日」

3日は、政府が先月定めた、初めての「サイバーセキュリティーの日」に当たり…インターネットの安全な利用について考えるシンポジウムが開かれました。

情報セキュリティーの大切さが企業の経営者に理解されていないことから、担当者はもっと積極的に説明しなければならないといった指摘や…

_人人人人人人人人人人人人人_ > サーバーセキュリティー <  ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y ̄

情報セキュリティ月間に入ってから各所別の意味で盛り上がってますね!!

奇しくも同日、JALが不正アクセス判明を発表、更なる盛り上がりを見ることに……

日本航空(JAL)は2014年2月3日、同社が運営する「JALマイレージバンク(JMB)」の会員Webサイト(画面)への不正ログインが判明し、JMB会員になりすました第三者がマイルを特典に交換するトラブルが多数発生していたことを発表した。

そして、盛り上がりの中心には憤激の高木浩光先生『だが、ANAとJAL、お前たちはだめだ。完全にお前たちに責任があるのであり、全ての損害を補償し、賠償し、慰謝料に応じなければならない。』

これまで多数のWebサービスがパスワードリスト攻撃による不正アクセス被害を受けていましたが、本件は事情が違うようです。どこに問題があるのでしょうか?以下、高木浩光先生のツイートをまとめています。

ガタっ、ついに来たか。 -- JALマイレージWebサイトに不正アクセス、約2700万人にパスワード変更を依頼 itpro.nikkeibp.co.jp/article/NEWS/2… @nikkeibpITproさんから

ちょど先月あたり、ブログを書かねばと思っていたが、事件が先に起きてしまった。

予定していたブログのタイトルは「パスワードリスト型攻撃に最も強いのはズバリ航空業界」。昨今、他のサイトから流出したID・パスワードのリストを用いた不正ログイン被害が続発する中、その攻撃に最も強いのはANAとJAL。なぜならパスワードが他と共通じゃないから。というもの。

もちろんそれは皮肉。それ以前に、いわゆる「リバースブルートフォース攻撃」で簡単に被害者が続出するわけで、その指摘は、10年以上前にANAとJALにメールと電話で私は抗議した。その後、JALは数字4桁から数字6桁に「改善」したが、ANAは何もしなかった。ええかげんにせえよという…

…ええかげんにせえよという記事を書くべく、10年前に抗議したときの電話を証拠に示そうと、録音を探したがなかなか見つからないので、後回しにしていたのだった。それが先に事件が起きてしまうとは。

通常のリスト型攻撃であれば、不正ログインされたサイトの運営者に非はない(漏洩させたサイトが悪い)と言うべきと、これまで多くの専門家が啓発してきた。だが、ANAとJAL、お前たちはだめだ。完全にお前たちに責任があるのであり、全ての損害を補償し、賠償し、慰謝料に応じなければならない。

JALは「パスワードの変更手続きをお願いいたします」jal.co.jp/info/jmb/14020… と、さも利用者が定期的に変更しないのが悪いかのごとく言っている。だが、数字以外、8文字以上の文字列を認めない、そんなものはパスワードじゃない。パスワード認証すらなかったと言うべき。

この期に及んで、まともなパスワードの使用を認めず、「安心してサービスをご利用いただくため、JMBパスワードの変更手続きをお願いいたします」などと言うJAL、ANAには、全力で猛烈に抗議せよ。過去に危険を指摘した人は、その事実を示して、JALとANAに重過失があることを立証せよ。

『最初に抗議したのは、2000年4月(14年前)』

私が最初に抗議したのは、2000年4月(14年前)にANAに対してだった。きっかけはこういうメールが来たからだった。危険を認識し、被害の発生を認容していたことは明らかである。 pic.twitter.com/1fSa1i7I2e

4桁数字の暗証番号がWebのログインでは許されない(ATMその他のリバースブルートフォース不可能な環境では許されるのに対し)ことは、10年前にさんざん啓発してきた。今更知りませんでしたなどという言い訳は絶対に許してはならない。 soi.wide.ad.jp/class/20030011…

JPNIC JCERT/CCセキュリティセミナー2003の高木浩光先生の基調講演資料『安全なwebサイト設計の注意点』より
http://www.soi.wide.ad.jp/class/20030011/slides/10/index_38.html

1 2 3





焼酎片手にまとめております。



  • 話題の動画をまとめよう